Penulis: Beosin
Berdasarkan data statistik pemantauan platform Beosin Alert, pada Mei 2026, total kerugian dari berbagai insiden keamanan mencapai sekitar 76,15 juta USD. Terjadi total "36" insiden serangan peretas besar, dengan penyebab utamanya adalah kerentanan kontrak dan kebocoran kunci pribadi. Di antaranya, terdapat 17 insiden keamanan karena kerentanan kontrak/jaringan, dan 10 insiden kerugian karena kebocoran kunci pribadi. Keamanan kode dan keamanan operasional ekosistem DeFi menghadapi tantangan yang serius.
10 Protokol dengan Kerugian Terbesar pada Mei
Jembatan lintas rantai Verus-Ethereum Bridge yang menghubungkan rantai Verus L1 dan Ethereum diserang karena kerentanan kontrak, dengan kerugian terbesar mencapai 11,58 juta USD. Echo Protocol diserang karena kebocoran kunci pribadi, memungkinkan penyerang mencetak 1.000 eBTC (nilai kertas sekitar 76,7 juta USD). Namun, karena keterbatasan likuiditas, keuntungan aktual akhirnya sekitar 5,13 juta USD.
Jenis Proyek yang Diserang dan Situasi Kerugian di Setiap Rantai
Objek yang diserang mencakup berbagai jenis seperti jembatan lintas rantai, bursa terdesentralisasi, protokol pinjaman, pasar prediksi, stablecoin, dan pengguna biasa. Di antaranya, jembatan lintas rantai mengalami kerugian terbesar, mencapai 27,995 juta USD. Proyek-proyek yang terkait dengan DeFi diserang paling sering, dengan total 14 kali.
Rantai dengan kerugian terbesar pada Mei adalah Ethereum, dengan kerugian melebihi 48,76 juta USD. Sebagian besar insiden keamanan pada jembatan lintas rantai dan protokol DeFi masih berpusat di Ethereum. Diikuti oleh BNB Chain, Monad, TON. Selain itu, juga terjadi insiden keamanan di Monero dan Bitcoin, menunjukkan tren serangan yang merata di berbagai rantai.
Analisis Insiden Keamanan Utama
1. Verus: Cacat Validasi Pesan Lintas Rantai
Cara kerja Verus-Ethereum Bridge adalah dengan pemohon menyediakan data pembuktian yang menunjukkan adanya output yang memenuhi syarat dan telah dikonfirmasi oleh notaris di rantai Verus. Setelah kontrak jembatan memverifikasi dan lolos, aset akan dilepaskan di Ethereum. Kerentanannya terletak pada fakta bahwa meskipun kontrak jembatan di sisi Ethereum memverifikasi bukti dari rantai Verus, ia tidak memeriksa apakah data tersebut merupakan output asli yang valid. Hal ini memungkinkan penyerang membuat output palsu untuk lolos verifikasi dan menarik dana yang jauh melebihi deposit mereka.
Bagian kode yang rentan:
Kerentanan dalam peristiwa ini termasuk dalam kategori yang sama dengan kerentanan yang menyebabkan kerugian 320 juta USD pada Wormhole dan 190 juta USD pada Nomad pada tahun 2022, yaitu ketika jembatan memverifikasi pesan itu sendiri tetapi tidak memverifikasi nilai aset yang mendasarinya.
2. Trusted Volumes: Cacat Parameter Tanda Tangan
Dalam serangan ini, penyerang memanfaatkan cacat desain tanda tangan dalam proses permintaan penawaran (RFQ) TrustedVolumes. Saat transfer aktual dilakukan, penyerang menggunakan data tanda tangan yang dikustomisasi, mengatur pengirim transfer sebagai kontrak Resolver TrustedVolumes, dan berhasil lolos pemeriksaan, sehingga dapat mentransfer aset dari kontrak Resolver untuk mendapatkan keuntungan.
Bagian kode yang rentan:
Pemeriksaan otorisasi mengacu pada varg4, sedangkan eksekusi transfer dana mengacu pada parameter lain. Kurangnya validasi menyebabkan domain penandatangan otorisasi tidak sesuai dengan alamat penarik dana aktual.
Maka, penyerang hanya perlu menandatangani sebuah pesanan dengan alamat penandatangan yang terdaftar, di mana maker = Exploit (lolos pemeriksaan tanda tangan), dan parameter tanda tangan lainnya (token, jumlah) dapat diatur ke nilai apa pun, misalnya pesanan palsu 1:1, agar lolos pemeriksaan harga wajar dari oracle harga, kemudian mengambil aset dari kontrak protokol:
3. Insiden Kebocoran Kunci Pribadi dengan Contoh StablR
Pada Mei, terjadi beberapa insiden kebocoran kunci pribadi dengan total kerugian melebihi 25 juta USD. StablR, sebagai penerbit stablecoin yang sesuai peraturan, menjadi pelajaran penting dalam hal tata kelola keamanan untuk stablecoin dan sektor DeFi.
StablR meluncurkan dua produk stablecoin yang sesuai peraturan: EURR dan USDR. Dompet multisig yang mengontrol pencetakan EURR adalah 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc; dompet multisig yang mengontrol pencetakan USDR adalah 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.
Karena kedua dompet multisig tersebut hanya memerlukan satu tanda tangan untuk memulai transaksi, penyerang dengan mengontrol alamat owner 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d, menambahkan alamat 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 ke kedua dompet multisig tersebut, sehingga mendapatkan kendali atas hak pencetakan proyek:
Insiden semacam ini bukan tentang kerentanan kode, melainkan masalah keamanan operasional dari pihak proyek: tidak menyimpan kunci pribadi alamat istimewa dengan aman, tidak menggunakan multisig dengan ambang batas tinggi untuk operasi bernilai tinggi/berisiko tinggi, tidak menggunakan time lock untuk operasi pencetakan besar, dan kurangnya mekanisme respons darurat yang cepat.
Tren Ancaman Keamanan Web3
Tren paling mendalam yang muncul dalam keamanan Web3 pada tahun 2026 adalah perluasan sistematis dari permukaan serangan. Kerentanan muncul secara bersamaan di bidang kode, infrastruktur, interoperabilitas, dan proses manusia. Hanya mengandalkan beberapa audit keamanan atau alat tidak dapat mencakup bidang-bidang seperti keamanan operasional, sisi karyawan, infrastruktur cloud, dan rantai pasok perangkat lunak. Hal ini menuntut persyaratan keamanan operasional berkelanjutan yang lebih tinggi dari pihak proyek Web3.
Selain itu, serangan terhadap kontrak lama/tidak terpakai semakin sering terjadi, di mana kerentanan atau otorisasi di dalamnya sangat mudah dieksploitasi oleh penyerang. Pengembang atau operator kontrak harus memeriksa kembali keamanan kontrak masa lalu. Untuk kontrak yang tidak terpakai, dana yang tersisa harus ditangani atau dialihkan dengan tepat tepat waktu, dan pengguna dihubungi untuk membatalkan otorisasi yang tidak diperlukan. Pengguna juga harus secara teratur memeriksa dan membatalkan otorisasi kontrak yang tidak lagi digunakan dengan menggunakan penjelajah blockchain atau alat pembatalan otorisasi.
