Mythos Versi Publik Diluncurkan Secara Resmi: Mengurai Keunggulan dan Keterbatasan Audit Kontrak Cerdas AI

marsbitDipublikasikan tanggal 2026-06-11Terakhir diperbarui pada 2026-06-11

Abstrak

Sumber: Beosin Pada 9 Juni, Anthropic secara resmi meluncurkan versi publik Mythos Claude Fable 5. Fable 5 menunjukkan kemampuan luar biasa dalam menemukan kerentanan keamanan yang tersembunyi, seperti yang terlihat dalam insiden Zcash, di mana model AI berhasil mengungkap bug serius yang lolos dari audit manual selama empat tahun dalam waktu singkat. **Keunggulan Audit AI** terbukti dalam skenario seperti deteksi **tabrakan slot penyimpanan (*storage slot collision*)**. Contohnya, ketika komponen `rewards mapping` bertabrakan dengan slot tetap `ReentrancyGuard` dari pustaka Solady, AI dapat dengan cepat memetakan tata letak penyimpanan dan mengidentifikasi tabrakan yang sangat tersembunyi ini, sesuatu yang mudah terlewatkan dalam audit manual. AI sangat efisien dalam pencocokan pola kode, penyaringan awal massal, dan analisis kerentanan sintaksis dalam kontrak tunggal. Namun, **Kelemahan Audit AI** masih tampak dalam menghadapi **kerentanan semantik kombinasi lintas protokol**. Misalnya, dalam serangan terhadap Curve LlamaLend sDOLA, yang melibatkan beberapa kontrak (crvUSD Controller.vy, sDOLA.sol, dll.), Fable 5 gagal mengidentifikasi vektor serangan inti. Serangan ini memanfaatkan interaksi beberapa protokol DeFi (seperti memanipulasi harga pool melalui *flash loan* untuk memicu likuidasi) dan membutuhkan pemahaman mendalam tentang model ekonomi dan logika bisnis ekosistem yang kompleks—area di mana AI saat ini masih terbatas. Kesimpulannya, **Fable 5 sangat efektif**...

Sumber Artikel Asli: Beosin

Pada tanggal 9 Juni, Anthropic secara resmi meluncurkan versi publik Mythos Claude Fable 5. Sebelumnya, kemampuan Mythos dalam penemuan kerentanan keamanan sangat menonjol, dapat dengan cepat menemukan kerentanan tersembunyi di dalam sistem, sehingga menarik perhatian tinggi di bidang keamanan siber.

Dan insiden Zcash baru-baru ini adalah contoh tipikal dari AI yang menemukan kerentanan blockchain. Peneliti keamanan Taylor Hornby, dengan bantuan model Anthropic Claude Opus 4.8, berhasil menemukan dalam hitungan jam sebuah kerentanan soundness pada kolam privasi Orchard yang telah terpendam selama empat tahun dan tidak terdeteksi dalam berbagai audit manual sebelumnya. Secara teori, kerentanan ini memungkinkan pencetakan ZEC palsu yang tak terbatas tanpa terdeteksi, yang langsung menyebabkan harga ZEC anjlok hampir 40%.

Saat ini, AI menunjukkan efisiensi yang luar biasa dalam pencocokan pola kode, penyaringan awal massal, dan aspek lainnya. Mengintegrasikan AI ke dalam proses audit keamanan blockchain dan kontrak cerdas sedang menjadi tren di industri keamanan Web3. Artikel ini akan menganalisis keunggulan dan kekurangan AI dalam audit kontrak cerdas dengan menggabungkan kasus kerentanan nyata dan performa pengujian aktual Fable 5.

Skenario Keunggulan Audit AI

Studi Kasus: Tabrakan Slot Penyimpanan (Storage Slot Collision)

Sebuah kontrak menggunakan dua komponen berikut secara bersamaan:

1. mapping rewards kustom (untuk mencatat hadiah yang dapat diklaim pengguna)

2. ReentrancyGuard dari pustaka Solady (untuk mencegah serangan penyusupan ulang/reentrancy)

Dan tata letak penyimpanan dari kedua komponen tersebut bertabrakan.

Di sini, ReentrancyGuard dari Solady, demi pengoptimalan gas yang ekstrem, menggunakan slot penyimpanan tetap dengan nomor rendah (biasanya diperoleh melalui perhitungan tertentu untuk mendapatkan slot yang mendekati konstanta). Logika tipikal dari modifier nonReentrant adalah:

// Versi yang disederhanakan
modifier nonReentrant() {
    // saat masuk, tulis slot guard sebagai 0xff...ff (Sentinel Value)
    assembly {
        if eq(sload(REENTRANCY_GUARD_SLOT), 2) { revert(...) }  // 2 mewakili terkunci
        sstore(REENTRANCY_GUARD_SLOT, 2)  // terkunci
    }
    _;
    // pulihkan saat fungsi selesai
    assembly { sstore(REENTRANCY_GUARD_SLOT, 1) }
}

mapping rewards kustom:

mapping(address => uint256) public rewards;

Karena aturan tata letak penyimpanan Solidity (slot pertama dari mapping dihitung dari posisi deklarasinya), slot pertama dari mapping rewards persis sama dengan slot perlindungan tetap dari ReentrancyGuard.

Alur serangan (langkah-langkah detail):

1. Penyerang memanggil fungsi getReward()

2. Modifier nonReentrant terpicu, menulis slot guard dengan 0xffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff (semua 1)

3. Kode kontrak kemudian membaca rewards[alamat_penyerang] — tetapi karena tabrakan slot, yang sebenarnya dibaca adalah nilai sangat besar 0xff...ff yang ada di slot guard

4. Kontrak menganggap "ada hadiah sangat besar", sehingga mentransfer ETH sejumlah itu kepada penyerang, sekaligus berusaha mengosongkan rewards[penyerang] (tetapi menulis kembali ke slot guard yang sama)

5. Karena modifier akan memulihkan slot saat fungsi berakhir, saat penyerang memanggil getReward() lagi, prosesnya berulang

6. Penyerang memanggil secara siklis sebanyak 200 kali, setiap kali berhasil menarik jumlah ETH tetap, hingga ETH yang dapat ditarik di kontrak habis

Perlu diperhatikan, ini bukanlah "serangan penyusupan ulang" (reentrancy attack) dalam arti tradisional, melainkan mekanisme perlindungan ReentrancyGuard itu sendiri yang dimanfaatkan secara terbalik oleh tabrakan penyimpanan, menjadi kerentanan klaim hadiah tak terbatas. Saat audit manual, sangat jarang mengeksplorasi tata letak penyimpanan pustaka pihak ketiga secara mendalam baris per baris, sedangkan AI dapat langsung menyelesaikan perbandingan versi pustaka + pemetaan slot penyimpanan yang presisi, dan langsung mengenai kerentanan "tabrakan tersembunyi" seperti ini.

Skenario Kelemahan Audit AI

Fable 5 menunjukkan performa unggul dalam deteksi kerentanan kontrak tunggal, sintaks kode murni, dan kerentanan penyimpanan tingkat rendah. Namun, saat menghadapi semantik kombinasi lintas protokol dan serangan kombinasi multi-kontrak, masih terdapat keterbatasan yang jelas. Kami menggunakan versi publik terbaru Fable 5 untuk melakukan pengujian ulang pada kontrak terkait insiden serangan Curve LlamaLend sDOLA, dan hasilnya membuktikan masalah ini.

Daftar kontrak yang terlibat dalam audit ini: crvUSD Controller.vy, sDOLA.sol, ERC4626.sol, dan serangkaian kontrak lainnya. Dan Fable 5 gagal mengidentifikasi risiko inti yang sesuai dengan serangan ini:

Peristiwa ini termasuk dalam kerentanan kombinasi lintas protokol yang tipikal. Sintaks dan logika kode dari kontrak tunggal tidak bermasalah, tetapi penyerang memanfaatkan interaksi multi-protokol untuk membangun jalur serangan:

1. Dengan bantuan alat flash loan, memanipulasi harga pool dana Curve, secara jahat menekan harga aset sDOLA (bagian vault ERC-4626);

2. Sejumlah besar posisi pinjaman dengan sDOLA sebagai jaminan mencapai ambang batas likuidasi;

3. Penyerang melakukan operasi likuidasi secara massal, dan mengambil keuntungan darinya.

Kerentanan semacam ini terbentuk dari kombinasi multi-protokol DeFi, menguji kemampuan analisis komprehensif AI/ahli audit terhadap keseluruhan bisnis dan model ekonomi protokol. Saat ini, audit AI masih kurang dalam hal semantik kombinasi lintas protokol.

Penutup

Dari pengujian kasus nyata dapat dilihat bahwa Fable 5, dalam skenario yang terstandarisasi dan detail seperti konflik slot penyimpanan, kerentanan pola kode, cacat logika kontrak tunggal, dan penyaringan awal kode massal, dapat secara efektif menemukan kerentanan tersembunyi yang mudah terlewatkan dalam audit manual. Namun, dalam menangani semantik kombinasi lintas protokol, model ekonomi DeFi, serangan keterkaitan multi-kontrak, dan kerentanan logika bisnis yang kompleks, sulit untuk memahami esensi bisnis ekosistem on-chain, serta menemukan jalur serangan kombinasi. Bagian ini masih memerlukan analisis yang dipimpin oleh auditor keamanan profesional.

Dalam pekerjaan audit sehari-hari, Beosin telah membangun proses audit yang matang dengan kolaborasi antara AI dan ahli audit keamanan. Hal ini tidak hanya secara signifikan meningkatkan efisiensi audit, tetapi juga dapat lebih baik menemukan potensi risiko detail dan kerentanan logika bisnis yang kompleks, membuat pekerjaan audit menjadi lebih efisien, komprehensif, dan mendalam.

Pertanyaan Terkait

QApa keunggulan utama AI, seperti Claude Fable 5 (Mythos), dalam audit keamanan kontrak pintar menurut artikel tersebut?

AAI unggul dalam mendeteksi kerentanan seperti tabrakan slot penyimpanan (storage slot collision), pencocokan pola kode, penyaringan awal dalam jumlah besar, dan celah logis dalam satu kontrak. AI dapat melakukannya dengan efisiensi dan kecepatan yang jauh melampaui audit manual.

QBerdasarkan studi kasus Zcash yang disebutkan, apa dampak dari kerentanan yang ditemukan AI?

AKerentanan yang ditemukan AI (Orchard privacy pool soundness bug) pada dasarnya memungkinkan seseorang mencetak ZEC palsu dalam jumlah tak terbatas tanpa terdeteksi. Hal ini menyebabkan harga ZEC anjlok hampir 40%.

QApa batasan atau kelemahan AI dalam audit kontrak pintar menurut artikel, khususnya terkait dengan kasus Curve LlamaLend sDOLA?

AKelemahan AI terletak pada pemahaman semantik lintas protokol, model ekonomi DeFi yang kompleks, dan jalur serangan yang melibatkan kombinasi banyak kontrak. Dalam kasus Curve LlamaLend sDOLA, AI gagal mengidentifikasi serangan manipulasi harga dan likuidasi yang memanfaatkan interaksi antar beberapa protokol.

QApa solusi yang diusulkan artikel untuk mengatasi kekurangan audit berbasis AI?

AArtikel menyarankan pendekatan kolaboratif antara AI dan ahli audit keamanan manusia. Seperti yang diterapkan oleh Beosin, kombinasi ini meningkatkan efisiensi audit sekaligus memastikan potensi risiko dalam logika bisnis kompleks dan serangan kombinasi dapat diidentifikasi secara lebih menyeluruh.

QApa jenis kerentanan yang dijelaskan dalam contoh 'Storage Slot Collision' dan bagaimana cara kerjanya?

AKerentanan tersebut adalah tabrakan slot penyimpanan antara 'rewards mapping' kontrak kustom dan slot tetap dari library ReentrancyGuard Solady. Karena menggunakan slot yang sama secara tidak sengaja, modifikasi pada slot penjaga reentrancy (menjadi nilai maksimum) menyebabkan sistem membaca nilai tersebut sebagai 'reward' yang sangat besar, memungkinkan penyerang menarik dana berulang kali hingga habis.

Bacaan Terkait

Prospektif Mingguan Investasi dan Pendanaan Pasar Primer Kripto｜Regulasi Stablecoin Mendekati Implementasi, Dana ETF Terus Keluar, Modal Mulai Bertaruh pada Pembayaran dan Arus Kas

**Laporan Prospektif Mingguan Investasi Pasar Primer Crypto (1-7 Juni 2026) - Ringkasan** **Tren Inti:** Modal beralih dari aset berisiko ke infrastruktur pembayaran dan arus kas. Meski ETF BTC/ETH mengalami arus keluar bersih besar (masing-masing $1.72B dan $168 juta), total kapitalisasi stablecoin justru tumbuh menjadi $325.4B, menandakan fase defensif di mana likuiditas tetap di *on-chain* menunggu peluang baru. **Fokus Pendanaan Pasar Primer (Minggu Ini):** 1. **Infrastruktur Stablecoin** (28% dari total pendanaan): Contoh: M0 Protocol ($35 juta). Fokus pada jaringan pembayaran dan penyelesaian, didorong oleh regulasi seperti GENIUS Act. 2. **Infrastruktur AI Agent** (26%): Contoh: Halliday ($20 juta) dan OpenRouter ($40 juta). Pergeseran dari konsep ke ekonomi Agent yang membutuhkan identitas, pembayaran, dan jaringan kolaborasi. 3. **RWA (Aset Dunia Nyata)** (18%): Contoh: Ondo Finance. Pencarian aset penghasil arus kas *on-chain* yang terukur. **Wawasan & Prospek:** * **Jaringan Pembayaran Stablecoin** diperkirakan menjadi tema utama, didukung kemajuan regulasi. * **Infrastruktur Derivatif yang Patuh** (contoh: Hyperliquid) dihargai untuk pendapatan nyata mereka. * **AI Agent** memasuki fase validasi komersial, dengan fokus pada pendapatan dan transaksi nyata antar-Agent. * VC lebih selektif, menekankan **pendapatan, pertumbuhan pengguna, dan kelengkapan bisnis** daripada sekadar narasi. * Acara keamanan meningkat di area manajemen kunci dan kontrol izin. **Kesimpulan:** Pasar kini berfokus pada **arus kas dan nilai berkelanjutan**. Tiga area utama untuk kuartal mendatang adalah Infrastruktur Stablecoin, Infrastruktur AI Agent, dan Derivatif yang Patuh.

marsbit4m yang lalu

Prospektif Mingguan Investasi dan Pendanaan Pasar Primer Kripto｜Regulasi Stablecoin Mendekati Implementasi, Dana ETF Terus Keluar, Modal Mulai Bertaruh pada Pembayaran dan Arus Kas

marsbit4m yang lalu

The Bitcoin Vector #59

Ringkasan Eksekutif: The Bitcoin Vector #59 Untuk akses lengkap ke artikel ini, pelanggan yang sudah berlangganan diharapkan untuk masuk ke akun mereka.

insights.glassnode10m yang lalu

CEO Helius Berpendapat ‘Rumah Jerami’ Kripto Menghadapi Keruntuhan Seiring AI Meningkatkan Taruhannya

CEO Helius Labs Mert Mumtaz memperingatkan bahwa industri kripto memasuki era keamanan baru, di mana kecerdasan buatan (AI) dan standar perangkat lunak yang lebih ketat akan memisahkan tim infrastruktur serius dari protokol rapuh. Dalam sebuah postingan di X, ia menyatakan bahwa kode keuangan yang tidak dapat diubah di blockchain menuntut ketelitian setinggi, seperti pada industri pesawat luar angkasa atau manufaktur chip, karena bug dapat menyebabkan bencana tanpa kemampuan intervensi pusat. Mumtaz berpendapat banyak protokol kripto saat ini dibangun dengan standar pengembangan web yang "ceroboh", mengandalkan kunci admin atau koordinasi sosial sebagai solusi darurat. Namun, dengan kemajuan AI, sistem yang lemah akan semakin rentan terhadap serangan yang dibantu AI yang dapat dengan cepat menemukan celah keamanan. Di sisi lain, AI juga akan memudahkan proses verifikasi formal, audit, dan pembuatan sistem yang lebih kuat. Inti peringatannya adalah bahwa seleksi alam akan terjadi: tim serius dengan arsitektur tahan banting akan bertahan, sementara sistem seperti "rumah jerami" akan runtuh. Kompetisi di masa depan tidak hanya tentang kecepatan atau insentif, tetapi tentang ketepatan dan keamanan yang dapat dibuktikan. Tujuannya adalah agar ekosistem kripto menjadi lebih aman dan andal daripada sistem keuangan terpusat.

bitcoinist11m yang lalu

CEO Helius Berpendapat ‘Rumah Jerami’ Kripto Menghadapi Keruntuhan Seiring AI Meningkatkan Taruhannya

bitcoinist11m yang lalu

Bel Tiket Harus Beli NFT Dulu? Tiket Piala Dunia Terbesar Sepanjang Sejarah Susah Terjual

Penjualan tiket Piala Dunia FIFA 2026 menghadapi tantangan tak terduga jelang pembukaan, dengan sekitar 180.000 tiket untuk pertandingan grup masih tersedia di platform resmi. Meskipun minat taruhan dan antusiasme global tetap tinggi, sistem tiket baru FIFA mendapat kritik. Kontroversi utama adalah pengenalan "Right-To-Buy" (RTB), sebuah aset digital atau NFT yang dijual melalui platform FIFA Collect. RTB hanya memberi hak untuk membeli tiket di jendela tertentu, bukan tiket itu sendiri, sehingga menciptakan dua langkah pembelian. Harga RTB bervariasi, dari puluhan hingga ratusan dolar, yang dianggap sebagai langkah komersialisasi agresif. Harga tiket yang mahal dan tidak transparan juga jadi masalah. Harga dinamis FIFA membuat biaya tiket 2-4 kali lebih mahal dari Piala Dunia 2022, dengan informasi kursi yang tidak jelas. Selain itu, platform resmi FIFA untuk penjualan kembali membebankan biaya sekitar 27% dari harga tiket kepada pembeli dan penjual, memungkinkan FIFA terus mendapatkan keuntungan. Meski FIFA melaporkan telah menjual lebih dari 6 juta tiket secara keseluruhan, situasi ini menunjukkan batas kesediaan membayar penggemar. Mekanisme tiket yang kompleks dan mahal telah memicu keluhan dari asosiasi penggemar dan penyelidikan regulator di beberapa negara bagian AS.

marsbit13m yang lalu

Bel Tiket Harus Beli NFT Dulu? Tiket Piala Dunia Terbesar Sepanjang Sejarah Susah Terjual

marsbit13m yang lalu

Dialog dengan Eksekutif Morgan Stanley: Wall Street Tidak Menolak Bitcoin, Hanya Menunggu Waktu yang Tepat

Sumber: Natalie Brunell Amy Oldenburg, yang bertanggung jawab atas strategi aset digital di Morgan Stanley, baru-baru ini tampil di podcast. Ia membahas pandangan Wall Street tentang Bitcoin, penyebab harga yang stagnan, dan faktor-faktor yang bisa mendorong kenaikan harga. Ia menjelaskan bahwa rekomendasi Morgan Stanley kepada klien adalah alokasi Bitcoin sebesar 0-2% untuk portofolio yang konservatif hingga agresif, dan 2-4% untuk portofolio yang lebih agresif. Namun, banyak penasihat keuangan masih ragu karena kurangnya edukasi dan tantangan memasukkan aset ini ke dalam kerangka investasi tradisional. Menurut Oldenburg, adopsi institusi membutuhkan waktu karena hambatan regulasi yang ketat, beban modal, dan ekosistem yang belum matang. Meski produk seperti ETF Bitcoin telah diluncurkan, pergerakan harga masih dipengaruhi narasi bersaing dan aliran dana ke aset lain seperti komoditas dan AI. Ia percaya Bitcoin membutuhkan krisis untuk diakui sebagai aset penyimpan nilai netral, dan pertumbuhan adopsi dalam 5-10 tahun ke depan akan bertahap, bukan lonjakan tiba-tiba. Oldenburg menekankan pentingnya membedakan Bitcoin dari aset kripto lainnya dan harapannya agar semangat kedaulatan mandiri dari komunitas cypherpunk tidak hilang seiring masuknya lembaga keuangan tradisional.

marsbit30m yang lalu

Dialog dengan Eksekutif Morgan Stanley: Wall Street Tidak Menolak Bitcoin, Hanya Menunggu Waktu yang Tepat