Kerugian Melebihi $26 Juta, Analisis Insiden Keamanan Truebit Protocol dan Pelacakan Aliran Dana yang Dicuri

marsbitDipublikasikan tanggal 2026-01-09Terakhir diperbarui pada 2026-01-09

Abstrak

Penulis: Beosin Pada 9 Januari dini hari, kontrak tidak terbuka sumber (unopen-sourced) yang telah diterapkan Truebit Protocol 5 tahun lalu diserang, mengakibatkan kerugian 8.535,36 ETH (senilai sekitar $26,4 juta). Tim keamanan Beosin telah menganalisis kerentanan dan melacak aliran dana, dengan hasil sebagai berikut: **Analisis Teknik Serangan:** Serangan memanfaatkan kerentanan logika aritmatika (kemungkinan truncation integer) pada fungsi yang tidak terbuka. Penyerang memanggil `getPurchasePrice()` untuk mendapatkan harga, lalu memanggil fungsi cacat `0xa0296215()` dengan `msg.value` yang sangat kecil. Ini memungkinkan penyerang mencetak sejumlah besar token TRU secara tidak sah. Token ini kemudian "dijual kembali" ke kontrak melalui fungsi `burn`, memungkinkan penyerang menarik sejumlah ETH dari cadangan kontrak. Proses ini diulang beberapa kali hingga hampir semua ETH dalam kontrak berhasil dikuras. **Pelacakan Dana:** Melalui platform BeosinTrace, dana yang dicuri sebanyak 8.535,36 ETH dilacak. Sebagian besar dana saat ini disimpan di dua alamat: - 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (menampung 4.267,09 ETH) - 0x273589ca3713e7becf42069f9fb3f0c164ce850a (menampung 4.001 ETH) Alamat penyerang (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267,71 ETH. Semua alamat ini telah ditandai sebagai berisiko tinggi oleh Beosin KYT dan belum ada transfer lebih lanjut. Kesimpulan: Kejadian ini menyoroti pentingnya audit keamanan, memperbarui kontrak lama, da...

Penulis: Beosin

Pada dini hari tanggal 9 Januari, kontrak tidak terbuka yang diterapkan Truebit Protocol 5 tahun lalu diserang, mengalami kerugian 8,535.36 ETH (senilai sekitar $26.4 juta). Tim keamanan Beosin telah melakukan analisis kerentanan dan pelacakan dana terhadap insiden keamanan ini, dan membagikan hasilnya sebagai berikut:

Analisis Teknik Serangan

Dalam peristiwa ini, kami menggunakan satu transaksi serangan utama sebagai analisis, hash transaksinya adalah: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. Penyerang memanggil getPurchasePrice() untuk mendapatkan harga

2. Kemudian memanggil fungsi 0xa0296215() yang memiliki cacat, dan menetapkan nilai msg.value sangat kecil

Karena kontrak tidak terbuka, melalui kode yang didekompilasi, diperkirakan fungsi ini memiliki kerentanan logika aritmatika, seperti masalah pemotongan integer, yang menyebabkan penyerang berhasil mencetak sejumlah besar token TRU.

3. Penyerang melalui fungsi burn "menjual kembali" token yang dicetak ke kontrak, dan menarik sejumlah besar ETH dari cadangan kontrak.

Proses ini diulang 4 kali, setiap kali nilai msg.value meningkat, hingga hampir semua ETH dalam kontrak ditarik.

Pelacakan Dana yang Dicuri

Berdasarkan data transaksi on-chain, Beosin melalui platform investigasi dan pelacakan on-chain blockchain BeosinTrace telah melakukan pelacakan dana yang rinci, dan membagikan hasilnya sebagai berikut:

Saat ini, 8,535.36 ETH yang dicuri setelah dipindahkan, sebagian besar disimpan di 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 dan 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

Di antaranya, alamat 0xd12f memegang 4,267.09 ETH, alamat 0x2735 memegang 4,001 ETH. Alamat penyerang yang memulai serangan (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267.71 ETH, tiga alamat ini belum ada transfer dana lebih lanjut.

Diagram Analisis Aliran Dana yang Dicuri oleh Beosin Trace

Semua alamat di atas telah ditandai oleh Beosin KYT sebagai alamat berisiko tinggi, contohnya alamat penyerang:

Beosin KYT

Kesimpulan

Dana yang dicuri ini melibatkan kontrak pintar tidak terbuka dari 5 tahun lalu. Untuk kontrak semacam ini, pihak proyek harus meningkatkan kontrak, memperkenalkan fitur darurat, pembatasan parameter, serta fitur keamanan Solidity versi baru. Selain itu, audit keamanan tetap merupakan langkah yang sangat diperlukan untuk kontrak. Melalui audit keamanan, perusahaan Web3 dapat mendeteksi kode kontrak pintar selengkap mungkin, menemukan dan memperbaiki kerentanan potensial, serta meningkatkan keamanan kontrak.

*Beosin akan menyediakan laporan analisis lengkap semua aliran dana dan risiko alamat dari peristiwa ini, silakan ambil melalui email resmi [email protected].

Pertanyaan Terkait

QApa yang terjadi pada Truebit Protocol pada 9 Januari?

ATruebit Protocol mengalami serangan keamanan pada kontrak yang tidak terbuka sumbernya yang telah diterapkan 5 tahun lalu, mengakibatkan kerugian 8.535,36 ETH (senilai sekitar $26,4 juta).

QBagaimana cara penyerang mengeksploitasi kerentanan dalam kontrak Truebit?

APenyerang memanggil fungsi getPurchasePrice() untuk mendapatkan harga, kemudian memanggil fungsi 0xa0296215() yang cacat dengan msg.value yang sangat kecil, memanfaatkan kerentanan logika aritmatika seperti pemotongan integer untuk mencetak banyak token TRU, lalu membakarnya untuk mengekstrak ETH dari cadangan kontrak.

QKe mana saja dana yang dicuri dialihkan?

ASebagian besar dana yang dicuri (8.535,36 ETH) dialihkan ke dua alamat: 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (memegang 4.267,09 ETH) dan 0x273589ca3713e7becf42069f9fb3f0c164ce850a (memegang 4.001 ETH). Alamat penyerang (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267,71 ETH.

QApa rekomendasi Beosin untuk meningkatkan keamanan kontrak pintar setelah insiden ini?

ABeosin merekomendasikan untuk meningkatkan kontrak dengan memperkenalkan jeda darurat, pembatasan parameter, dan fitur keamanan versi Soliditas baru. Audit keamanan juga sangat penting untuk mendeteksi dan memperbaiki kerentanan potensial.

QBagaimana Beosin melacak dan menandai alamat yang terlibat dalam serangan ini?

ABeosin menggunakan platform pelacakan dan investigasi blockchain BeosinTrace untuk melacak aliran dana. Semua alamat yang terlibat telah ditandai sebagai alamat berisiko tinggi dalam Beosin KYT (Know Your Transaction).

Bacaan Terkait

Pasar Saham Korea Anjlok, Modal Global Dijual Habis: Apakah Fundamental Semikonduktor Benar-benar Berubah?

**TL;DR** Pasar saham Korea Selatan mengalami penurunan tajam pada Senin, dengan indeks KOSPI sempat turun hampir 9% dan memicu mekanisme *circuit breaker*. Saham raksasa semikonduktor seperti Samsung Electronics dan SK Hynix terjual berat, memicu perdebatan apakah pasar bull AI telah mencapai titik balik. Namun, di tengah kepanikan pasar, CEO NVIDIA Jensen Huang mengunjungi Seoul pada akhir pekan. Ia mengumumkan kerjasama jangka panjang baru dengan SK Hynix untuk mengembangkan produk memori generasi baru untuk pusat data AI, serta bertemu dengan perusahaan teknologi Korea lainnya seperti Samsung dan LG. Kunjungan ini mengirimkan sinyal kuat bahwa pembangunan infrastruktur AI masih dalam tahap awal. Artikel ini membahas kontras antara kepanikan pasar dan sinyal kuat dari rantai pasokan inti AI. Penurunan pasar Korea dipicu oleh aksi jual besar-besaran di sektor semikonduktor AS, menjadikan Korea—yang seperti "ETF memori AI" besar—sebagai pasar yang paling terdampak. Sementara itu, pasar mulai memasuki fase baru: alih-alih hanya mempercayai narasi "pertumbuhan AI", investor sekarang mulai memeriksa secara ketat bagaimana laba dari lonjakan AI akan didistribusikan di antara berbagai pemain dalam rantai pasokan (seperti produsen HBM, DRAM, GPU). Arah pasar Korea ke depan tidak ditentukan oleh ekonomi domestik, tetapi oleh faktor eksternal seperti pesanan NVIDIA, pasokan dan permintaan HBM, serta pengeluaran modal (*capex*) dari perusahaan cloud besar. Jika data-data ini tetap kuat, penurunan hari Senin mungkin hanya merupakan koreksi dari transaksi yang terlalu padat. Namun, jika ada tanda-tanda pelemahan, penyesuaian valuasi yang lebih besar bisa terjadi. Pertanyaan intinya adalah: apakah penilaian pasar atau sinyal dari rantai industri yang lebih mendekati kenyataan?

marsbit9m yang lalu

Pasar Saham Korea Anjlok, Modal Global Dijual Habis: Apakah Fundamental Semikonduktor Benar-benar Berubah?

marsbit9m yang lalu

Trump Cari Perusahaan AI Bahas Pembagian Uang, Tekanan Naratif Setingkat Revolusi Industri Dimulai

Dalam dua tahun terakhir, pasar AI hanya fokus pada satu pertanyaan: siapa yang bisa menghasilkan uang paling banyak? Namun, sekarang muncul pertanyaan lain: jika AI benar-benar menciptakan kekayaan yang belum pernah ada sebelumnya, haruskah uang itu hanya dinikmati oleh perusahaan, karyawan, dan pemegang saham? Laporan media baru-baru ini menyebutkan bahwa pejabat Gedung Putih telah berdiskusi dengan perusahaan AI terkemuka mengenai kemungkinan “sukarela menyerahkan sebagian kepemilikan saham” untuk didistribusikan kepada publik, mirip dengan Dana Permanen Alaska. OpenAI juga telah mengusulkan pendirian dana kekayaan publik dalam whitepaper-nya pada April. Sementara itu, proposal dari Senator Bernie Sanders lebih radikal, mendorong perusahaan AI besar menyerahkan porsi ekuitas yang lebih tinggi dengan hak keputusan publik. Diskusi ini belum menjadi kebijakan formal, tetapi menandakan dimulainya perdebatan terbuka tentang bagaimana keuntungan super AI di masa depan akan dibagikan. Bagi perusahaan AI, terutama yang belum go public seperti OpenAI, Anthropic, dan xAI, ini memperkenalkan variabel kebijakan baru dalam valuasi: perlukah mereka mengalokasikan sebagian hak ekonomi masa depan untuk mendapatkan penerimaan sosial dan regulator? OpenAI mengusulkan dana kekayaan publik sebagai strategi untuk membeli “izin sosial”, mengurangi risiko politik yang tidak terkendali di masa depan dengan mekanisme berbagi yang dapat dikelola. Ini berbeda dari nasionalisasi; ini lebih tentang merancang skema berbagi hasil jangka panjang. Dampaknya terhadap valuasi bervariasi tergantung pada bentuknya: alokasi sukarela persentase kecil tanpa hak suara dapat diperhitungkan sebagai biaya kebijakan jangka panjang, sementara proposal radikal seperti kepemilikan publik paksa dengan kursi dewan akan mempengaruhi kontrol perusahaan dan kebebasan pertumbuhan. Pasar AI, yang sebelumnya hanya memberi harga pada pertumbuhan, kini mulai mempertimbangkan harga untuk distribusi. Titik pengamatan kunci ke depan termasuk apakah perusahaan lain akan mengikuti, formalisasi oleh pemerintah, pengungkapan dalam dokumen keuangan, dan reaksi pasar. Risiko sebenarnya adalah jika “berbagi sukarela” berubah menjadi “tata kelola paksa.”

marsbit12m yang lalu

Trump Cari Perusahaan AI Bahas Pembagian Uang, Tekanan Naratif Setingkat Revolusi Industri Dimulai

marsbit12m yang lalu

Dari Titik Tertinggi ke Titik Terendah Dua Minggu, Mengapa Saham Konsep AI Tiba-tiba Berbalik Arah?

Saham terkait AI mengalami koreksi tajam dari level tertinggi sebelumnya, mendorong indeks utama AS seperti Nasdaq 100 turun ke titik terendah dua minggu. Penjualan terjadi akibat aksi ambil untung setelah kenaikan berlebihan, serta prospek penjualan chip dari Broadcom yang dinilai kurang memenuhi ekspektasi tinggi pasar. Data tenaga kerja AS bulan Mei yang lebih kuat dari perkiraan mendorong kenaikan imbal hasil obligasi pemerintah, memicu spekulasi bahwa Fed mungkin akan menaikkan suku bunga, yang semakin membebani sentimen pasar. Harga minyak dan cryptocurrency seperti Bitcoin juga turun signifikan. Secara keseluruhan, investor tampak beralih dari saham teknologi berkinerja tinggi ke sektor lain, didorong oleh kekhawatiran makroekonomi dan geopolitik.

marsbit12m yang lalu

Dari Titik Tertinggi ke Titik Terendah Dua Minggu, Mengapa Saham Konsep AI Tiba-tiba Berbalik Arah?

marsbit12m yang lalu

Menato Dahi Demi Hadiah? pump.fun Pakai 'Hadiah' untuk Hidupkan Meme Lagi

Penulis: angelilu, Foresight News Platform meme coin pump.fun meluncurkan "Pump.fun GO", sebuah platform bounty (hadiah) baru di mana pemegang koin dapat mengunci hadiah dalam kontrak pintar untuk menyewa orang menyelesaikan tugas-tugas pemasaran demi meningkatkan perhatian dan harga token mereka. Tugas-tugas awal di platform ini sering kali ekstrem atau kontroversial, seperti menerjunkan diri ke stadion Piala Dunia dengan kostum maskot atau membuat tato di dahi. Meski menimbulkan kritik karena meniru platform bounty Web3 lain dan berpotensi mempromosikan konten berbahaya, platform ini mencerminkan upaya pump.fun untuk menghidupkan kembali pasar. Langkah ini muncul saat pendapatan dan harga token PUMP pump.fun menurun tajam dari puncaknya awal 2025. Pump.fun mengalokasikan separuh pendapatannya untuk pengembangan produk, dengan GO sebagai langkah pertamanya. Mekanisme ini secara formal mengubah ekonomi perhatian meme coin dari penyebaran pasif menjadi output tugas ekonomi aktif. Penerbit tugas (biasanya pemegang koin) membayar untuk tindakan pemasaran, dan penyelesai tugas mendapatkan hadiah setelah verifikasi platform. Platform memegang kendali penuh atas persetujuan tugas dan pembayaran. Kasus terkenal termasuk seorang pria India yang membuat tato "$boutywork" yang salah eja di dahinya untuk 40 SOL. Kesalahan ini memicu debat, tetapi popularitasnya malah menginspirasi pembuatan meme coin baru yang memberinya $15.000 dari biaya transaksi. Tugas lain menawarkan hadiah besar untuk mengorganisir pawai atau memenangkan hackathon pump.fun. GO melanjutkan logika eksperimen konten pump.fun yang sebelumnya terwujud dalam fitur siaran langsung, yang pernah ditutup sementara karena konten berbahaya. Perbedaannya, GO secara aktif menyetujui dan mendanai tugas-tugas ini. Intinya tetap sama: menciptakan kegaduhan untuk menyelamatkan nilai token yang tidak memiliki fundamental.

Foresight News36m yang lalu

Menato Dahi Demi Hadiah? pump.fun Pakai 'Hadiah' untuk Hidupkan Meme Lagi

Foresight News36m yang lalu

Interpretasi Laporan Penelitian JP Morgan di Pertengahan Tahun: Siklus Super AI Belum Berakhir, Kurangi Pemegangan Uang Tunai + Alokasi Aset Fisik

**Ringkasan Laporan J.P. Morgan 2026: Siklus Super AI Belum Berakhir, Kurangi Kas & Tambah Aset Riil** Laporan J.P. Morgan menyatakan sentimen pasar terhadap siklus super AI sudah **terlalu pesimis**. Data inti menunjukkan **lima raksasa cloud** (Microsoft, Meta, dll) akan meningkatkan belanja modal AI hingga lebih dari $650B pada 2026. Namun, model bisnis mereka berubah dari "ringan" menjadi "padat modal", dengan arus kas bebas diperkirakan turun drastis. Sementara itu, **perusahaan software tradisional** (SaaS) menjadi korban pertama AI, dengan banyak saham terkoreksi >50%. Di sisi lain, **inflasi diperkirakan akan bertahan di sekitar 3%**, lebih tinggi dari sebelum pandemi, sehingga memegang kas atau obligasi inti berarti kehilangan nilai riil. **Rekomendasi Utama JPM:** * **AI:** Tetap bertaruh pada infrastruktur AI (chip, listrik), bukan software lama. * **Inflasi:** Alokasikan **aset riil** (komoditas, infrastruktur, properti, emas ~3-6%) untuk lindung nilai. * **Aset:** Kurangi kepemilikan **kas**, tambah eksposur ke **pasar berkembang** (mis. Taiwan, Korea untuk rantai pasok AI; Amerika Latin untuk komoditas). * **Geopolitik:** Manfaatkan koreksi pasar akibat ketegangan geopolitik (seperti blokade Selat Hormuz) sebagai peluang akumulasi saham AS. **Saham China** diskon sangat dalam dan bisa mengalami revaluasi jika ada sinyal kebijakan pro-bisnis yang jelas. * **Hindari:** Software tradisional, model alokasi "60/40" saham/obligasi lama, serta sektor konsumen dan otomotif Eropa. Intinya: Volatilitas saat ini adalah **jendela peluang**, tetapi pola pikir dan alokasi portofolio perlu disesuaikan dengan realitas ekonomi dan teknologi baru.

marsbit37m yang lalu

Interpretasi Laporan Penelitian JP Morgan di Pertengahan Tahun: Siklus Super AI Belum Berakhir, Kurangi Pemegangan Uang Tunai + Alokasi Aset Fisik

marsbit37m yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow