Kerugian Melebihi $26 Juta, Analisis Insiden Keamanan Truebit Protocol dan Pelacakan Aliran Dana yang Dicuri

marsbitDipublikasikan tanggal 2026-01-09Terakhir diperbarui pada 2026-01-09

Abstrak

Penulis: Beosin Pada 9 Januari dini hari, kontrak tidak terbuka sumber (unopen-sourced) yang telah diterapkan Truebit Protocol 5 tahun lalu diserang, mengakibatkan kerugian 8.535,36 ETH (senilai sekitar $26,4 juta). Tim keamanan Beosin telah menganalisis kerentanan dan melacak aliran dana, dengan hasil sebagai berikut: **Analisis Teknik Serangan:** Serangan memanfaatkan kerentanan logika aritmatika (kemungkinan truncation integer) pada fungsi yang tidak terbuka. Penyerang memanggil `getPurchasePrice()` untuk mendapatkan harga, lalu memanggil fungsi cacat `0xa0296215()` dengan `msg.value` yang sangat kecil. Ini memungkinkan penyerang mencetak sejumlah besar token TRU secara tidak sah. Token ini kemudian "dijual kembali" ke kontrak melalui fungsi `burn`, memungkinkan penyerang menarik sejumlah ETH dari cadangan kontrak. Proses ini diulang beberapa kali hingga hampir semua ETH dalam kontrak berhasil dikuras. **Pelacakan Dana:** Melalui platform BeosinTrace, dana yang dicuri sebanyak 8.535,36 ETH dilacak. Sebagian besar dana saat ini disimpan di dua alamat: - 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (menampung 4.267,09 ETH) - 0x273589ca3713e7becf42069f9fb3f0c164ce850a (menampung 4.001 ETH) Alamat penyerang (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267,71 ETH. Semua alamat ini telah ditandai sebagai berisiko tinggi oleh Beosin KYT dan belum ada transfer lebih lanjut. Kesimpulan: Kejadian ini menyoroti pentingnya audit keamanan, memperbarui kontrak lama, da...

Penulis: Beosin

Pada dini hari tanggal 9 Januari, kontrak tidak terbuka yang diterapkan Truebit Protocol 5 tahun lalu diserang, mengalami kerugian 8,535.36 ETH (senilai sekitar $26.4 juta). Tim keamanan Beosin telah melakukan analisis kerentanan dan pelacakan dana terhadap insiden keamanan ini, dan membagikan hasilnya sebagai berikut:

Analisis Teknik Serangan

Dalam peristiwa ini, kami menggunakan satu transaksi serangan utama sebagai analisis, hash transaksinya adalah: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. Penyerang memanggil getPurchasePrice() untuk mendapatkan harga

2. Kemudian memanggil fungsi 0xa0296215() yang memiliki cacat, dan menetapkan nilai msg.value sangat kecil

Karena kontrak tidak terbuka, melalui kode yang didekompilasi, diperkirakan fungsi ini memiliki kerentanan logika aritmatika, seperti masalah pemotongan integer, yang menyebabkan penyerang berhasil mencetak sejumlah besar token TRU.

3. Penyerang melalui fungsi burn "menjual kembali" token yang dicetak ke kontrak, dan menarik sejumlah besar ETH dari cadangan kontrak.

Proses ini diulang 4 kali, setiap kali nilai msg.value meningkat, hingga hampir semua ETH dalam kontrak ditarik.

Pelacakan Dana yang Dicuri

Berdasarkan data transaksi on-chain, Beosin melalui platform investigasi dan pelacakan on-chain blockchain BeosinTrace telah melakukan pelacakan dana yang rinci, dan membagikan hasilnya sebagai berikut:

Saat ini, 8,535.36 ETH yang dicuri setelah dipindahkan, sebagian besar disimpan di 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 dan 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

Di antaranya, alamat 0xd12f memegang 4,267.09 ETH, alamat 0x2735 memegang 4,001 ETH. Alamat penyerang yang memulai serangan (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267.71 ETH, tiga alamat ini belum ada transfer dana lebih lanjut.

Diagram Analisis Aliran Dana yang Dicuri oleh Beosin Trace

Semua alamat di atas telah ditandai oleh Beosin KYT sebagai alamat berisiko tinggi, contohnya alamat penyerang:

Beosin KYT

Kesimpulan

Dana yang dicuri ini melibatkan kontrak pintar tidak terbuka dari 5 tahun lalu. Untuk kontrak semacam ini, pihak proyek harus meningkatkan kontrak, memperkenalkan fitur darurat, pembatasan parameter, serta fitur keamanan Solidity versi baru. Selain itu, audit keamanan tetap merupakan langkah yang sangat diperlukan untuk kontrak. Melalui audit keamanan, perusahaan Web3 dapat mendeteksi kode kontrak pintar selengkap mungkin, menemukan dan memperbaiki kerentanan potensial, serta meningkatkan keamanan kontrak.

*Beosin akan menyediakan laporan analisis lengkap semua aliran dana dan risiko alamat dari peristiwa ini, silakan ambil melalui email resmi [email protected].

Pertanyaan Terkait

QApa yang terjadi pada Truebit Protocol pada 9 Januari?

ATruebit Protocol mengalami serangan keamanan pada kontrak yang tidak terbuka sumbernya yang telah diterapkan 5 tahun lalu, mengakibatkan kerugian 8.535,36 ETH (senilai sekitar $26,4 juta).

QBagaimana cara penyerang mengeksploitasi kerentanan dalam kontrak Truebit?

APenyerang memanggil fungsi getPurchasePrice() untuk mendapatkan harga, kemudian memanggil fungsi 0xa0296215() yang cacat dengan msg.value yang sangat kecil, memanfaatkan kerentanan logika aritmatika seperti pemotongan integer untuk mencetak banyak token TRU, lalu membakarnya untuk mengekstrak ETH dari cadangan kontrak.

QKe mana saja dana yang dicuri dialihkan?

ASebagian besar dana yang dicuri (8.535,36 ETH) dialihkan ke dua alamat: 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (memegang 4.267,09 ETH) dan 0x273589ca3713e7becf42069f9fb3f0c164ce850a (memegang 4.001 ETH). Alamat penyerang (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267,71 ETH.

QApa rekomendasi Beosin untuk meningkatkan keamanan kontrak pintar setelah insiden ini?

ABeosin merekomendasikan untuk meningkatkan kontrak dengan memperkenalkan jeda darurat, pembatasan parameter, dan fitur keamanan versi Soliditas baru. Audit keamanan juga sangat penting untuk mendeteksi dan memperbaiki kerentanan potensial.

QBagaimana Beosin melacak dan menandai alamat yang terlibat dalam serangan ini?

ABeosin menggunakan platform pelacakan dan investigasi blockchain BeosinTrace untuk melacak aliran dana. Semua alamat yang terlibat telah ditandai sebagai alamat berisiko tinggi dalam Beosin KYT (Know Your Transaction).

Bacaan Terkait

Enhanced Raup Pendanaan Pra-Seed Strategis $1 Juta untuk Hadirkan Yield Terstruktur ke Lebih Banyak Aset Onchain

Enhanced Labs Inc, perusahaan yang fokus pada solusi DeFi untuk mengemas strategi opsi dan derivatif yang canggih ke dalam produk yang mudah diakses, telah berhasil mengumpulkan pendanaan pra-seed strategis senilai $1 juta. Putaran pendanaan ini dipimpin oleh Maximum Frequency Ventures dengan partisipasi dari GSR, Selini, Flowdesk, dan investor angel lainnya. Pendanaan akan digunakan untuk pengembangan produk dan persiapan operasional, dengan fokus pada tiga pilar strategis: meningkatkan tarif kompetitif melalui efisiensi modal, memperluas strategi yield berbasis opsi ke aset on-chain yang lebih beragam (termasuk aset dunia nyata yang ditokenisasi), dan menyederhanakan strategi kompleks menjadi pengalaman pengguna yang intuitif. Enhanced hadir di tengah meningkatnya minat institusional maupun ritel terhadap strategi opsi volatilitas di sektor DeFi. Platform multi-chain ini menawarkan produk yield terstruktur dan kekayaan, dimulai dengan berbagai strategi derivatif untuk lebih banyak aset on-chain.

TheNewsCrypto59m yang lalu

Enhanced Raup Pendanaan Pra-Seed Strategis $1 Juta untuk Hadirkan Yield Terstruktur ke Lebih Banyak Aset Onchain

TheNewsCrypto59m yang lalu

Treasury dan CFTC Tingkatkan Tekanan pada Kongres untuk Mengesahkan UU CLARITY

Pejabat tinggi Departemen Keuangan AS dan CFTC meningkatkan tekanan publik pada Kongres untuk mengesahkan UCLARITY Act, menandakan dorongan terkoordinasi dari cabang eksekutif untuk memajukan undang-undang kripto yang tertunda. Dalam pernyataan tanggal 9 April, Scott Bessent dan Mike Selig menekankan urgensi pembentukan kerangka regulasi komprehensif untuk aset digital. Tekanan ini muncul setelah laporan Gedung Putih yang mengkaji dampak yield stablecoin, melemahkan argumen untuk pembatasan ketat. UCLARITY Act, yang mendefinisikan struktur pasar dan tanggung jawab pengawasan, telah tertunda karena perdebatan antara lembaga keuangan tradisional dan pelaku industri kripto. Tekanan eksekutif ini berusaha memecah kebuntuan legislatif dan mendorong kerangka regulasi yang terpadu.

ambcrypto1j yang lalu

Treasury dan CFTC Tingkatkan Tekanan pada Kongres untuk Mengesahkan UU CLARITY

ambcrypto1j yang lalu

Penyelidik Crypto Membongkar Skema Rahasia Korea Utara Senilai $1 Juta Per Bulan

Investigasi oleh ZachXBT mengungkap skema Korea Utara yang mempekerjakan ratusan agen IT untuk menyusup ke proyek-proyek crypto global. Data dari server pembayaran internal (luckyguys[.]site) menunjukkan lebih dari 390 akun, log chat, dan riwayat transaksi yang terhubung dengan kelompok peretasan negara tersebut. Para agen menyamar sebagai freelancer dan menggunakan identitas palsu untuk menerima pembayaran dalam crypto, yang kemudian dialirkan kembali ke jaringan terkait rezim. Sejak November 2025, lebih dari $3,5 juta telah masuk ke dompet pembayaran mereka, dengan pola remittance melalui bursa crypto atau konversi ke fiat via bank-bank China. ZachXBT juga mengidentifikasi hierarki organisasi, pelatihan peretasan, dan upaya pencurian aset digital. Meski portal pembayaran telah ditutup pasca-publikasi investigasi, temuan ini memperkuat laporan bahwa pekerja IT Korea Utara menghasilkan jutaan dolar per bulan untuk mendanai operasi negara.

bitcoinist1j yang lalu

Penyelidik Crypto Membongkar Skema Rahasia Korea Utara Senilai $1 Juta Per Bulan

bitcoinist1j yang lalu

Canary Capital Ajukan ETF Spot PEPE di Tengah Reaksi Negatif Komunitas: 'Memalukan'

Canary Capital telah mengajukan permohonan Spot ETF untuk memecoin PEPE, yang memicu reaksi beragam dari komunitas kripto. Banyak yang menentangnya, dengan beberapa ahli menyebut langkah ini "memalukan". Jika disetujui, ini akan menjadi ETF memecoin kedua setelah Dogecoin (DOGE). Namun, minat dari Wall Street terhadap produk memecoin tampak rendah, seperti terlihat dari aliran dana yang hampir nol untuk ETF DOGE sejak Maret. Meski ada sentimen positif dari pedagang eceran, investor besar dan "smart money" bersikap defensif. Harga PEPE turun 10% dalam 24 jam setelah pengumuman dan berada di sekitar titik terendah tahunan, mengindikasikan ketidakpedulian pasar terhadap berita ETF ini.

ambcrypto2j yang lalu

Canary Capital Ajukan ETF Spot PEPE di Tengah Reaksi Negatif Komunitas: 'Memalukan'

ambcrypto2j yang lalu

Departemen Keuangan AS Maju dengan UU GENIUS – Aturan Baru Lindungi Penerbit Stablecoin

Kementerian Keuangan AS, melalui FinCEN dan OFAC, mengajukan aturan baru di bawah GENIUS Act yang memperlakukan penerbit stablecoin (PPSI) seperti bank dalam hal kewajiban anti-pencucian uang (AML). Aturan ini dirancang untuk melindungi sistem keuangan dari ancaman kejahatan finansial seperti pendanaan terorisme, sekaligus mendukung inovasi teknologi finansial AS. Langkah ini diambil menyusul banyaknya kasus penyalahgunaan stablecoin untuk aktivitas ilegal, yang mencapai 84% dari total volume transaksi ilegal pada 2025 menurut Chainalysis. Menteri Keuangan Scott Bessent menyatakan aturan ini memperkuat kepemimpinan AS di sektor fintech digital tanpa menghambat perkembangan perusahaan.

ambcrypto2j yang lalu

Departemen Keuangan AS Maju dengan UU GENIUS – Aturan Baru Lindungi Penerbit Stablecoin

ambcrypto2j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow