Penulis: ZeroDrift
Poin-poin Penting
- DxSale adalah kasus dengan kerugian terparah, peretas mencuri sekitar $7,3 juta.
- Masalahnya bukan pada satu jenis kerentanan tertentu, tetapi pada pensiunnya kontrak lama yang tidak tuntas, masih menyimpan nilai ekonomi dan izin operasi.
Menurut analisis yang dirilis ZeroDrift pada 22 Juni 2026, dalam 40 hari terakhir, penyerang mencuri sekitar $16,9 juta dari lima kontrak pintar yang telah ditinggalkan tetapi masih berjalan di rantai.
Apa yang disebut "kontrak yang ditinggalkan" tidak sama dengan "kontrak yang tidak berlaku". Banyak kontrak meskipun tidak lagi dikembangkan dan dipelihara secara aktif oleh tim, tetap di-deploy di rantai, dapat menerima dana, mengeksekusi transaksi, atau memindahkan aset. Selama masih ada dana, otorisasi, atau pintu masuk yang dapat dipanggil di dalamnya, ia tetap menjadi target serangan.
Peristiwa-peristiwa ini terkonsentrasi terjadi antara 7 Mei dan 15 Juni 2026. TrustedVolumes rugi sekitar $5,87 juta, Huma Finance V1 pool rugi sekitar $101.000, DxSale V1 Locker rugi sekitar $7,3 juta, Raydium Legacy AMM pool rugi sekitar $1,34 juta, sedangkan Aztec Connect rugi sekitar $2,28 juta dalam dua serangan berturut-turut.
Gambar: Kerugian kumulatif dari lima peristiwa terkait kontrak yang ditinggalkan dalam 40 hari. Sumber: ZeroDrift / X.
Kontrak yang Tidak Ada yang Perhatikan Lagi, Tetap Bisa Mengendalikan Dana
Kasus DxSale sangatlah tipikal. Kontrak locker versi lamanya awalnya dirancang untuk mengunci likuiditas dalam jangka panjang, memastikan dana tidak dapat ditarik sebelum jangka waktu yang ditentukan. Namun risiko dari sistem semacam ini juga berasal dari tujuan desainnya: mereka memang dimaksudkan untuk menyimpan nilai dalam jangka panjang.
Seiring waktu, perhatian tim beralih ke produk baru, aturan pemantauan melemah, personel pemeliharaan berubah, jalur izin lama dan asumsi historis perlahan terlupakan. ZeroDrift mencatat, dalam peristiwa DxSale, sebuah jalur kontrol lama menjadi tersedia kembali, menyebabkan likuiditas yang seharusnya terkunci berhasil ditarik.
Kelima peristiwa tersebut bukanlah pemanfaatan ulang dari kerentanan yang sama. Mereka terjadi pada sistem, arsitektur, dan rantai yang berbeda, melibatkan komponen-komponen yang berbeda seperti penyelesaian RFQ, pool kredit, LP locker, AMM, dan rollup exit.
Apa yang benar-benar sama adalah keadaan dasarnya: kontrak-kontrak ini sudah bukan lagi fokus pengembangan aktif tim, tetapi masih menyimpan nilai ekonomi di rantai.
Analisis Otomatis Sedang Memperbesar Risiko Kontrak Lama
Kontrak lama secara alami cocok untuk dicari oleh alat otomatis: kode terbuka, riwayat rantai lengkap, pemantauan yang lebih lemah, dan seringkali masih mempertahankan asumsi keamanan yang sudah usang. Dulu, mencari target ekor panjang ini secara sistematis membutuhkan biaya tenaga kerja yang besar; sekarang, pencarian kesamaan kode, simulasi transaksi, analisis data on-chain, dan peninjauan berbantuan AI sedang menurunkan biaya pencarian semacam ini.
ZeroDrift sekaligus menekankan, saat ini tidak ada bukti publik yang menunjukkan AI terlibat dalam lima serangan spesifik ini. Yang patut diperhatikan adalah perubahan struktur biaya: penyerang semakin mudah memindai "produk kemarin" secara sistematis, sementara pihak bertahan belum memiliki manajemen "tanggung jawab kemarin" yang sama sistematisnya.
Industri keamanan DeFi telah membentuk proses audit peluncuran yang cukup matang, tetapi pensiun, migrasi, dan penghentian kontrak masih kekurangan disiplin yang sama ketatnya. Sebuah kontrak tidak otomatis menjadi aman hanya karena tim berhenti memeliharanya. Kontrak hanya benar-benar pensiun ketika dana, izin, otorisasi, pintu masuk, dan asumsi kepercayaannya telah dihapus.
