Peretas Mencuri Hampir $17 Juta dalam 40 Hari, "Kontrak Zombie" Menjadi Mesin Penarik Dana Peretas
Analisis oleh ZeroDrift pada 22 Juni 2026 mengungkapkan bahwa dalam 40 hari terakhir, penyerang telah mencuri sekitar $16,9 juta dari lima kontrak pintar yang sudah tidak digunakan tetapi masih aktif di blockchain.
Kontrak yang sudah ditinggalkan oleh pengembang ternyata tidak serta-merta aman atau mati. Kontrak-kontrak ini masih dapat menyimpan dana, izin akses (allowance), atau fungsi yang dapat dipanggil, sehingga tetap menjadi target serangan yang menarik. Lima proyek yang terdampak adalah:
- DxSale V1 Locker: rugi ~$7,3 juta.
- TrustedVolumes: rugi ~$5,87 juta.
- Aztec Connect: rugi ~$2,28 juta (dalam dua serangan).
- Raydium Legacy AMM: rugi ~$1,34 juta.
- Huma Finance V1 Pool: rugi ~$101 ribu.
Kasus DxSale merupakan contoh nyata. Kontrak locker lamanya dirancang untuk mengunci likuiditas dalam jangka panjang, namun seiring waktu, perhatian tim beralih ke produk baru dan jalur kontrol lama terlupakan, akhirnya dieksploitasi.
Serangan-serangan ini terjadi di berbagai sistem dan blockchain, menunjukkan masalah mendasar yang sama: kontrak lama yang sudah tidak menjadi fokus pengembangan masih menyimpan nilai ekonomi dan asumsi keamanan yang kedaluwarsa di dalamnya.
Risiko ini diperburuk oleh analisis otomatis. Alat-alat yang dapat memindai kode publik, riwayat transaksi, dan mensimulasikan serangan membuat penemuan target rentan semacam ini menjadi lebih murah dan sistematis bagi penyerang.
Industri keamanan DeFi telah memiliki proses audit yang matang untuk peluncuran kontrak baru, namun masih sangat kurang dalam hal disiplin untuk proses pensiun, migrasi, atau penonaktifan kontrak secara menyeluruh. Sebuah kontrak hanya benar-benar aman setelah semua dana, izin, akses, dan asumsi kepercayaan di dalamnya dicabut sepenuhnya.
marsbit24m yang lalu
