Eksploitasi Kontrak Royalitas Warisan Polygon Mengeruk $261 Ribu Melalui Kelemahan Logika Reward

TheNewsCryptoDipublikasikan tanggal 2026-06-24Terakhir diperbarui pada 2026-06-24

Abstrak

Sebuah peretas memanfaatkan kontrak royalti lawas di platform Polygon dan berhasil mengambil sekitar $261.200 dalam bentuk kripto. Transaksi tidak biasa ini diidentifikasi pada 23 Juni. Serangan terjadi melalui celah dalam logika perhitungan imbalan di program royalti warisan, bukan pada struktur inti blockchain Polygon. Analisis keamanan mengungkap bahwa fungsi `Royal1155LD.beforeLdaTransfer()` dalam kontrak yang dieksploitasi mengandung masalah. Pelaku melakukan beberapa transaksi bernilai nol untuk memanipulasi penghitungan imbalan dan data kepemilikan, sehingga saldo token tampak lebih tinggi dalam kondisi tertentu. Peneliti menyimpulkan bahwa kesalahan perhitungan royalti memungkinkan klaim imbalan berlebihan. Pelaku juga menggunakan pinjaman kilat (flash loan) dalam eksploitasi ini. Serangan ini menegaskan risiko keamanan yang terus mengancam versi lawas proyek DeFi atau kontrak cerdas yang masih aktif namun tidak diperbarui. Para peneliti menyarankan pengembang untuk mengaudit, memperbarui, menonaktifkan, atau menghapus deployment lama guna mengurangi potensi serangan serupa. Pengembang Polygon mengonfirmasi bahwa keamanan jaringan blockchain utama tidak terganggu.

Seorang peretas menggunakan kontrak warisan untuk royalti di platform Polygon dan kabur dengan membawa cryptocurrency senilai sekitar $261.200 baru-baru ini. Perusahaan keamanan TenArmorAlert mengidentifikasi transaksi yang tidak biasa ini pada 23 Juni dan melacak transaksi eksploitasi tersebut.

Blockchain menunjukkan bahwa peretas melakukan serangan menggunakan transaksi blok Polygon 89.018.051. Menurut TenArmorAlert, peretas berhasil menarik sekitar $263.800 meskipun jumlah uang awal yang relatif rendah. Serangan ini menargetkan program royalti warisan dan bukan struktur fundamental blockchain Polygon.

Kesalahan Perhitungan dalam Kalkulasi Reward Memungkinkan Penarikan Berlebihan

Menurut TenArmorAlert, serangan ini dimungkinkan karena masalah dalam mekanisme perhitungan reward dan akuntansi reward. Perusahaan keamanan CertiK menemukan masalah pada fungsi Royal1155LD.beforeLdaTransfer() di dalam kontrak yang dieksploitasi.

Para peneliti menyatakan bahwa penyerang melakukan beberapa transaksi dengan nilai nol, memanipulasi perhitungan reward dan angka kepemilikan. Kerentanan ini memungkinkan penyerang untuk membuat saldo token tampak lebih tinggi dalam kondisi tertentu.

Defimon Alerts juga menyediakan penelitian lain oleh DecurityHQ. Dalam kasus ini, para ahli menyimpulkan bahwa kesalahan perhitungan royalti menyebabkan eksploitasi. Dengan cara ini, angka kepemilikan palsu memungkinkan klaim reward yang berlebihan. Selain itu, penyerang menggunakan pinjaman kilat (flash loan) untuk mengeksploitasi kontrak ini. Setelah melunasi jumlah yang dipinjam, penyerang mendapatkan sisa uang tersebut sebagai keuntungan.

Masih Rentan terhadap Ancaman Keamanan

Serangan terbaru ini muncul di tengah serangan-serangan serupa lainnya terhadap versi lama proyek keuangan terdesentralisasi (DeFi) serta penerapan kontrak pintar (smart contract) yang tidak aktif. Baru-baru ini, penyerang telah melakukan eksploitasi terhadap beberapa kontrak lama Huma Finance dan mencuri sekitar $101.400.

Para peneliti telah memperingatkan pengembang mengenai kemungkinan bahaya menyimpan versi lama kontrak pintar dengan dana yang masih tersedia. Tim harus mengaudit, memperbarui, menonaktifkan, atau sepenuhnya menghapus penerapan lama untuk mengurangi risiko serangan potensial. Para pengembang Polygon telah mengonfirmasi bahwa para penyerang belum dapat mengancam keamanan jaringan blockchain utama.

Sorotan Berita Crypto:

Eksploitasi SecondFi Membuka Kunci Dompet, Membahayakan Aset Cardano Senilai Lebih dari $20 Juta

TagBlockchainKriptoPeretasanSerangan PeretasanJaringan PolygonPolygonReward

Pertanyaan Terkait

QApa penyebab utama eksploitasi pada kontrak royalti lama di Polygon seperti yang dijelaskan dalam artikel?

AEksploitasi ini disebabkan oleh celah dalam mekanisme perhitungan imbalan dan akuntansi imbalan. Fungsi `Royal1155LD.beforeLdaTransfer()` dalam kontrak yang dieksploitasi memiliki masalah yang memungkinkan penyerang memanipulasi perhitungan imbalan dan nomor kepemilikan melalui transaksi bernilai nol, sehingga saldo token terlihat lebih tinggi dalam kondisi tertentu.

QBerapa perkiraan jumlah kerugian kripto yang diakibatkan oleh serangan ini?

AMenurut artikel, penyerang berhasil mengambil sekitar $261.200 (sekitar 261 ribu dolar AS) dalam bentuk kripto dari kontrak royalti lama di Polygon.

QApa peran pinjaman kilat (flash loan) dalam serangan ini?

APenyerang menggunakan pinjaman kilat untuk mengeksploitasi kontrak yang rentan. Setelah berhasil memanfaatkan celah dan mengklaim imbalan berlebih, penyerang melunasi jumlah yang dipinjam dan menyisakan sisa uang sebagai keuntungan.

QMenurut para peneliti, langkah apa yang harus diambil pengembang untuk mengurangi risiko serangan pada kontrak pintar versi lama?

APara peneliti menyarankan agar pengembang mengaudit, memperbarui, menonaktifkan, atau sepenuhnya menghapus kontrak pintar versi lama yang masih memiliki dana tersedia untuk mengurangi bahaya potensi serangan.

QApakah serangan ini membahayakan keamanan jaringan utama blockchain Polygon?

ATidak. Pengembang Polygon telah mengonfirmasi bahwa penyerang tidak berhasil mengancam keamanan jaringan utama blockchain Polygon. Eksploitasi hanya terjadi pada program royalti warisan, bukan pada struktur dasar blockchain.

Bacaan Terkait

Blockstream, Unicorn Kripto, Terjerat dalam Skandal Penipuan Berat: Kisah Lengkap

Sejak awal tahun, pionir Bitcoin Adam Back dan perusahaan yang didirikannya, Blockstream, berada di pusat perhatian komunitas kripto. Baru-baru ini, akun investigasi NatInfoSec menerbitkan artikel panjang yang menuduh Blockstream melakukan penipuan serius terkait penerbitan obligasi pertambangan Bitcoin (BMN). Tuduhan utama mencakup: 1. **Kapasitas dan Kemampuan Pembayaran yang Dipertanyakan**: Untuk memenuhi kewajiban BMN yang diterbitkan, Blockstream membutuhkan daya komputasi (hashrate) lebih dari 20 EH/s, bahkan hingga 45 EH/s. Namun, dasbor mereka hanya menunjukkan 15 EH/s. Tidak ada bukti publik yang sesuai (seperti data jaringan listrik, impor perangkat keras, atau atribusi kolam penambangan) untuk mendukung skala kewajiban tersebut. Klausul "Substitute Performance BTC" dalam BMN2 juga memungkinkan Blockstream menggunakan BTC dari sumber mana pun untuk pembayaran tanpa perlu mengungkapkan asalnya. 2. **Imbal Hasil Tinggi dengan Risiko Utang**: Beberapa tingkat obligasi BMN menawarkan imbal hasil tetap hingga sekitar 20% per tahun. Di industri pertambangan Bitcoin yang sangat siklis, imbal hasil tetap setinggi itu dianggap berisiko tinggi dan memerlukan penjelasan yang jelas. 3. **Masalah Pengungkapan dan Masa Lalu Chris Cook**: Christopher William Cook, seorang figur kunci di bisnis pertambangan Blockstream dan CEO Exacore (entitas operasional yang dipisahkan), memiliki catatan kriminal. Pada 2008, ia dihukum karena penipuan pos dengan hukuman penjara 41 bulan. Informasi ini tidak diungkapkan dalam dokumen penawaran BMN. Materi pemasaran juga disebutkan secara menyesatkan tentang pengalaman kerjanya di NASA. 4. **Keterkaitan dengan BSTR/SPAC**: NatInfoSec mempertanyakan apakah catatan Cook dan kewajiban potensial BMN seharusnya diungkapkan dalam dokumen SEC untuk Bitcoin Standard Treasury Company (BSTR), yang terkait dengan Adam Back dan berencana go public melalui SPAC. Namun, analis seperti BitMEX Research berpendapat bahwa karena struktur hukum yang terpisah dan tidak adanya jaminan grup, risiko BMN tidak serta merta menjadi risiko BSTR. BitMEX Research mengakui bahwa latar belakang Cook kemungkinan benar dan menyuarakan kekhawatiran tentang imbal hasil tinggi, tetapi menilai bukti untuk tuduhan lain tidak memadai. Debat komunitas berpusat pada **kemampuan untuk memverifikasi** daya komputasi sebenarnya, sumber pendapatan, dan asal BTC yang digunakan untuk pembayaran kupon BMN. Pertanyaan inti yang belum terjawab meliputi: skala pasti dan batas tanggung jawab BMN, kecukupan daya komputasi tambang untuk mendukung pembayaran, sumber imbal hasil tetap 20%, keterlibatan Cook, dan verifikasi aset cadangan untuk pembayaran. Hingga saat ini, Blockstream belum memberikan tanggapan sistematis terhadap kontroversi ini.

链捕手20m yang lalu

Blockstream, Unicorn Kripto, Terjerat dalam Skandal Penipuan Berat: Kisah Lengkap

链捕手20m yang lalu

Lobi Kripto Dorong Kongres Untuk Menjaga RUU Pajak Staking dan Mining Tetap Utuh

Lobi kripto mendesak Kongres AS untuk meloloskan RUU H.R. 9175, *Tax Clarity for Mining and Staking Act*, tanpa perubahan. RUU ini bertujuan memberikan kejelasan perpajakan bagi penambang (miner) dan validator, khususnya mengenai waktu pengenaan pajak atas imbalan yang mereka terima. Industri kripto menginginkan pajak ditangguhkan hingga aset digital hasil mining atau staking dijual, bukan dihitung sebagai penghasilan pada saat diterima. Mereka berargumen bahwa imbalan tersebut adalah aset baru yang dibuat jaringan, bukan pendapatan tunai biasa. Namun, pihak perbankan menentang penundaan pajak ini. Mereka khawatir aturan tersebut akan memberikan keuntungan kompetitif bagi produk hasil kripto dibandingkan produk tabungan tradisional seperti bunga dan dividen. Kejelasan aturan pajak dinilai krusial bagi operator. Ketidakpastian dapat meningkatkan biaya kepatuhan dan mendorong peserta skala kecil keluar dari pasar, yang berpotensi mengancam desentralisasi jaringan. Perdebatan ini menunjukkan agenda kebijakan industri kripto yang meluas ke ranah perpajakan, setelah lama fokus pada hukum sekuritas dan pengawasan bursa. Nasib RUU ini akan tergantung apakah ia diajukan sebagai revisi khusus atau digabung dalam paket aturan pajak aset digital yang lebih luas.

bitcoinist55m yang lalu

Lobi Kripto Dorong Kongres Untuk Menjaga RUU Pajak Staking dan Mining Tetap Utuh

bitcoinist55m yang lalu

a16z: Di Era AI, Perebutan Talenta Perusahaan Dimulai dari Pemberian Nama Jabatan

**Ringkasan: Arbitrase Judul Pekerjaan di Era AI** Artikel ini membahas pentingnya penamaan atau "judul" (title) pekerjaan sebagai strategi dalam merebut talenta dan membentuk persepsi di era AI, yang disebut sebagai "title arbitrage". Konsep ini diilustrasikan dengan contoh **FDE (Forward-Deployed Engineer)** yang dipopulerkan Palantir. Alih-alih disebut sebagai "insinyur implementasi" atau "dukungan pelanggan", FDE mendefinisikan ulang pekerjaan teknis di lokasi klien sebagai peran inti yang kompleks dan bernilai tinggi, menarik talenta rekayasa yang juga mahir menghadapi klien. Judul pekerjaan adalah **bahasa organisasi**. Perubahannya (misalnya dari "programmer" ke "software engineer", atau "clerk" ke "data scientist") mencerminkan pergeseran nilai strategis suatu kemampuan dalam bisnis. Penamaan yang tepat mengakui dan memberi legitimasi pada kemampuan baru. Di era AI, transformasi bukan hanya tentang alat yang lebih pintar, tetapi tentang kemunculan **individu berpengaruh baru** dalam organisasi—mereka yang mahir menggunakan AI, mengotomatisasi alur kerja, dan menerjemahkan masalah kompleks menjadi sistem. Judul baru seperti **Legal Engineer** atau **GTM Engineer** membantu mengidentifikasi, memberi wewenang, dan mempertahankan talenta semacam ini. Bagi startup AI, menciptakan dan mempopulerkan judul pekerjaan baru untuk peran yang lahir dari produk mereka adalah strategi. Ini membantu klien dalam mobilisasi internal dan membangun asosiasi kuat antara perusahaan dengan kemampuan spesifik tersebut. Kesimpulannya, dalam dunia perangkat lunak AI di mana batas antara produk dan layanan kabur, kemampuan untuk mendefinisikan, menamai, dan mengorganisir peran baru—terutama yang menjembatani produk dengan masalah nyata klien—dapat menjadi pembeda kompetitif dan dasar bagi keunggulan yang berkelanjutan.

marsbit1j yang lalu

a16z: Di Era AI, Perebutan Talenta Perusahaan Dimulai dari Pemberian Nama Jabatan

marsbit1j yang lalu

CBRS Laporan Keuangan Pertama Setelah IPO: Pendapatan Meningkat Dua Kali Lipat Namun Panduan Margin Kotor Turun Drastis, Realisasi Kontrak OpenAI Membutuhkan Waktu Lama

**Laporan Keuangan Pertama Cerebras (CBRS): Pendapatan Naik 2x, Tapi Panduan Margin Kasar Turun Drastis** Cerebras Systems (CBRS) melaporkan laporan kuartal pertama setelah IPO. Pendapatan inti Q1 mencapai $191.3 juta, naik 92% (y/y) dan melampaui ekspektasi pasar. Namun, panduan margin kotor inti untuk Q2 turun drastis dari 46.5% menjadi kisaran 36%-38%, menyebabkan saham anjlok >10% setelah jam perdagangan. **Poin Kunci:** 1. **Pertumbuhan & Panduan Kuat:** Panduan pendapatan inti tahunan $855-$865 juta (naik 69%) lebih tinggi dari ekspektasi pasar. Pendapatan layanan cloud melonjak 178%. 2. **Transformasi Model Bisnis:** CBRS beralih dari "menjual chip" ke "menjual daya komputasi" (cloud). Untuk memenuhi kontrak komputasi inferensi besar dengan OpenAI (>$20 miliar) dan AWS, perusahaan lebih banyak menempatkan perangkat keras ke cloud miliknya sendiri, yang sementara mengurangi margin. 3. **Tantangan:** Konsentrasi pelanggan masih tinggi (86% pendapatan dari dua entitas terkait UEA). Realisasi pendapatan penuh dari kontrak OpenAI dan AWS membutuhkan waktu (2026/2027). Valuasi tetap tinggi (~50x P/S berdasarkan panduan 2026). 4. **Logika Bull vs Bear:** Para **bull** percaya keunggulan kecepatan chip Cerebras untuk inferensi AI akan merebut pangsa pasar, didukung kontrak besar. Para **bear** meragukan keunggulan tersebut bisa bertahan, khawatir dengan margin yang lebih rendah dari model cloud, konsentrasi pelanggan, dan risiko pelepasan saham insider jika kapitalisasi pasar tetap di atas $40 miliar.

marsbit1j yang lalu

CBRS Laporan Keuangan Pertama Setelah IPO: Pendapatan Meningkat Dua Kali Lipat Namun Panduan Margin Kotor Turun Drastis, Realisasi Kontrak OpenAI Membutuhkan Waktu Lama

marsbit1j yang lalu

Wawancara CEO Strategy: Setelah Jual Bitcoin, Bisakah STRK Pulih Kembali?

**Wawancara dengan CEO Strategi: Bisakah STRATEGI Pulih Setelah Penjualan Bitcoin?** Dalam wawancara ini, CEO Strategy Phong Le menjelaskan alasan di balik penjualan 32 Bitcoin yang menggegerkan pasar. Ia menekankan bahwa keputusan tersebut adalah bagian dari strategi jangka panjang untuk membuktikan likuiditas dan menguji proses internal, bukan reaksi panik. Le menegaskan bahwa perusahaan tetap memegang keyakinan kuat pada Bitcoin sebagai aset fundamental. Le menjelaskan bahwa mayoritas STRATEGI (Strategy Preferred Stock) dipegang oleh investor ritail dan institusional jangka panjang, sehingga risiko "death spiral" dari protokol DeFi minimal. Ia juga membeberkan proses pengambilan keputusan yang ketat di perusahaan, melibatkan dewan direksi dan analisis data mendalam. Menyikapi volatilitas harga STRATEGI, CEO menyatakan perusahaan memiliki banyak opsi pendanaan, namun strategi "tidak melakukan apa-apa" (holding Bitcoin) tetap menjadi pilihan penting, sebagaimana terbukti selama bear market 2022. Keyakinannya pada nilai dasar Bitcoin dan visi tentang peran kripto di masa depan ekonomi robot dan AI membuatnya optimis. Mengenai pemulihan harga STRATEGI ke nilai pari $100, Le yakin dengan diisi kembali cadangan dolar dan dimulainya mekanisme pembayaran dividen pertama pada 30 Juni, produk yang sangat dijaminkan ini akan secara bertahap kembali ke level tersebut. Ia menutup dengan menegaskan transparansi perusahaan terkait penjualan Bitcoin, sebagaimana tercatat dalam dokumen 8-K.

marsbit2j yang lalu

Wawancara CEO Strategy: Setelah Jual Bitcoin, Bisakah STRK Pulih Kembali?

marsbit2j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow