# Artikel Terkait Peretasan

Pusat Berita HTX menyediakan artikel terbaru dan analisis mendalam mengenai "Peretasan", mencakup tren pasar, pembaruan proyek, perkembangan teknologi, dan kebijakan regulasi di industri kripto.

Bot MEV Paling Top, Digasak $7,5 Juta: Apakah Approval Justru Risiko Mematikan yang Paling Diabaikan di On-Chain?

**Intisari Artikel: Bot MEV Paling Top, Kena Bobol 750 Juta Dollar: Apakah Approval Risiko Mematikan yang Paling Terabaikan di Blockchain?** Bot arbitrase MEV terkenal Jaredfromsubway.eth diserang, mengalami kerugian lebih dari 750 juta dollar AS. Serangan ini bukan karena kebocoran kunci pribadi atau kerentanan kontrak pintar biasa, melainkan hasil perburuan terbalik yang dirancang khusus. Penyerang menghabiskan berminggu-minggu untuk menyiapkan jebakan: Mereka membuat banyak token palsu dan kolam likuiditas yang meniru aset populer seperti WETH dan USDC. Lingkungan ini dirancang untuk memancing bot MEV, yang selalu memindai peluang arbitrase, untuk secara otomatis menjalankan jalur perdagangan dan memberikan **persetujuan (approval) ERC-20** ke kontrak jahat. Setelah izin diberikan, penyerang kemudian menarik aset bot yang nyata. Kasus ini mengungkapkan bahaya mendasar dari fitur Approval di blockchain Ethereum/EVM. Approval diperlukan agar kontrak pintar (seperti DEX) dapat mengakses token pengguna untuk swap atau pinjaman. Namun, mirip dengan "pemotongan otomatis" di pembayaran digital, risiko utamanya adalah: 1. **Izin Tak Terbatas (Unlimited Approval):** Pengguna sering mengizinkan akses tak terbatas untuk menghemat biaya gas, membiarkan kontrak menarik semua token di masa depan. 2. **Izin Tidak Hilang dengan Sendirinya:** Memutuskan koneksi dompet atau menutup situs web **tidak membatalkan** approval yang sudah tercatat di blockchain. 3. **Risiko Masa Depan:** Kontrak yang saat ini aman bisa diretas di kemudian hari, menyalahgunakan izin yang sudah diberikan. **Bagaimana Mengelola Risiko Approval:** * **Prinsip Izin Minimum:** Setel jumlah approval mendekati nilai transaksi yang dibutuhkan, hindari unlimited approval. * **Pisahkan Dompet:** Gunakan dompet terpisah untuk penyimpanan jangka panjang dan untuk interaksi dengan DApp/proyek baru. * **Tinjau & Cabut Izin Secara Berkala:** Gunakan alat seperti Revoke.cash atau fitur manajemen izin di dompet (seperti di imToken) untuk memeriksa dan mencabut izin yang tidak lagi digunakan. * **Dukungan dari Dompet:** Dompet harus memberikan peringatan risiko, mem-parsing dan menampilkan data tanda tangan dengan jelas (Clear Signing), serta memudahkan pengelolaan izin. Keselamatan aset tidak hanya tentang melindungi kunci pribadi, tetapi juga secara aktif mengelola izin akses (approval) yang telah diberikan kepada kontrak pintar lainnya.

marsbit06/24 05:30

Bot MEV Paling Top, Digasak $7,5 Juta: Apakah Approval Justru Risiko Mematikan yang Paling Diabaikan di On-Chain?

marsbit06/24 05:30

Pemburu Jadi Mangsa, MEV Bot yang Paling Cuan Diretas

Penyerang MEV Bot yang Terkenal, Jaredfromsubway.eth, Kehilangan Lebih dari $7,5 Juta dalam Serangan 'Perangkap Madu'. Alamat MEV Bot Ethereum yang terkenal dan sangat aktif, Jaredfromsubway.eth, mengalami serangan rantai yang sangat bertarget pada hari Sabtu, yang mengakibatkan kerugian lebih dari $7,5 juta. Menurut investigasi Blockaid, serangan ini bukanlah serangan phishing tradisional atau eksploitasi kerentanan kontrak pintar, melainkan serangan 'perangkap madu MEV balik' (counter-MEV honeypot attack) yang dirancang khusus untuk mengeksploitasi logika perilaku MEV Bot. Penyerang telah menyebarkan 66 kontrak token palsu dan kumpulan likuiditas palsu selama beberapa minggu sebelumnya. Aset-aset ini disamarkan sebagai aset stabil utama seperti WETH, USDC, dan USDT, dan membangun jalur perdagangan arbitrase yang tampak nyata. Rantai serangan berkembang: kumpulan likuiditas palsu menciptakan sinyal 'kesenjangan harga yang dapat diarbitrase'; bot MEV secara otomatis mengidentifikasi peluang dan mengeksekusi perdagangan; bot memberikan otorisasi ke kontrak bantu yang dikendalikan penyerang selama proses perdagangan; otorisasi ini tidak dicabut tepat waktu, menciptakan paparan izin yang terus-menerus; akhirnya, penyerang memanggil logika 'pintu belakang' yang telah dipasang sebelumnya dalam satu transaksi, secara langsung mentransfer aset ETH, USDC, dan USDT yang dipegang oleh alamat MEV bot tersebut. Jaredfromsubway.eth adalah salah satu bot MEV paling aktif dan menguntungkan di jaringan Ethereum, yang terkenal karena menjalankan serangan 'sandwich' secara sistematis untuk menangkap keuntungan dari pergerakan harga. Cointelegraph Research menunjukkan bahwa sekitar 70% dari sekitar 60.000 hingga 90.000 serangan sandwich bulanan di Ethereum antara November 2024 dan Oktober 2025 terkait dengan strateginya. Diperkirakan bot ini telah menghasilkan puluhan juta dolar AS. Peristiwa ini menjadi peringatan keras tentang meningkatnya ancaman keamanan di ekosistem crypto. Bahkan pemain tingkat atas seperti Jaredfromsubway.eth, yang biasanya berada di sisi 'predator', kini menjadi target dari serangan canggih yang mengeksploitasi logika operasional otomatis mereka sendiri. Selain itu, setelah peretasan, sebuah akun X tidak dikenal dengan 94.000 pengikut mengubah namanya menjadi Jaredfromsubway.eth dan secara palsu mengklaim akan menawarkan hadiah $1 juta untuk pengembalian dana, memicu peringatan dari pengembang agar pengguna tetap waspada terhadap kemungkinan penipuan.

marsbit06/21 09:24

Pemburu Jadi Mangsa, MEV Bot yang Paling Cuan Diretas

marsbit06/21 09:24

Pemburu Dikepung, MEV Bot yang Paling Bisa Hasilkan Uang Diretas

Alamat bot MEV terkenal di Ethereum, Jaredfromsubway.eth, baru-baru ini menjadi korban serangan yang sangat tersasar dan kehilangan lebih dari $7.5 juta. Serangan ini bukanlah phising atau eksploitasi kerentanan kontrak pintar biasa, melainkan serangan "counter-MEV honeypot" yang dirancang khusus untuk mengeksploitasi logika operasional bot MEV. Penyerang dengan sabar menyiapkan puluhan kontrak token dan pool likuiditas palsu selama beberapa minggu, yang menyamar sebagai aset seperti WETH, USDC, dan USDT. Mereka membuat sinyal arbitrase yang tampak menguntungkan. Saat bot Jaredfromsubway.eth mendeteksi dan mencoba mengeksekusi peluang arbitrase ini, bot tersebut secara tidak sengaja memberikan izin (approval) ke kontrak bantu milik penyerang. Izin ini kemudian dieksploitasi dalam satu transaksi untuk menguras aset ETH, USDC, dan USDT dari dompet bot. Jaredfromsubway.eth sendiri adalah salah satu bot MEV paling aktif dan menguntungkan di Ethereum, yang terkenal terutama karena sering melakukan "serangan sandwich" untuk mengambil keuntungan dari selisih harga. Peristiwa ini menunjukkan bahwa bahkan pemain yang biasanya berperan sebagai "predator" di ekosistem crypto pun rentan terhadap ancaman keamanan yang semakin canggih. Setelah serangan, muncul akun palsu di X yang mengaku sebagai Jaredfromsubway.eth dan menawarkan pengembalian dana, yang telah diperingatkan oleh pengembang sebagai potensi penipuan.

Odaily星球日报06/21 09:17

Pemburu Dikepung, MEV Bot yang Paling Bisa Hasilkan Uang Diretas

Odaily星球日报06/21 09:17

Pelajaran dari Insiden Peretasan Raydium: Risiko Baru DeFi Tersembunyi dalam Kontrak Lama yang Terlupakan

**Raydium Peretasan Ungkap Risiko Baru DeFi: Kontrak Lama yang Terlupakan** Peretasan terhadap Raydium baru-baru ini, yang mengakibatkan kerugian sekitar $1,34 juta, menyoroti kategori risiko DeFi yang sering diabaikan: **"kontrak zombie"**. Penyerang mengeksploitasi pool liquidity Automated Market Maker (AMM) V3 lama Raydium yang sudah tidak digunakan tetapi masih aktif di blockchain. **Masalah Umum: Kontrak yang Ditinggalkan Tetap Rentan** Insiden ini bukan kasus isolasi. Sejak Maret 2025, setidaknya terjadi **8 serangan serupa** yang menargetkan kontrak usang, dengan total kerugian sekitar $10,8 juta. Kontrak-kontrak ini, meskipun telah "dihentikan" secara fungsional oleh pengembang, tidak pernah dinonaktifkan atau diamankan secara teknis di rantai, meninggalkan aset yang terdampar di dalamnya menjadi sasaran empuk. **Mengapa Risiko Ini Terabaikan?** Laporan keamanan biasanya mengklasifikasikan insiden berdasarkan celah teknis (bug kode, kegagalan oracle, dll.). Risiko kontrak usang ini adalah masalah **manajemen siklus hidup**, bukan bug pengkodean, sehingga sering tersembunyi dalam statistik. Kontrak V3 Raydium yang lama, misalnya, kehilangan dua pemeriksaan keamanan penting yang ada di versi baru, memungkinkan penyerang membuat token liquidity palsu. **Solusi: Standarisasi Penonaktifan Kontrak** Hanya mencantumkan "kontrak dihentikan" dalam dokumen tidak cukup. Industri perlu mengakui "kontrak zombie" sebagai kategori risiko mandiri dan membangun **proses standar untuk menonaktifkan kontrak**, termasuk: 1. **Transfer aset** dari kontrak lama. 2. **Nonaktifkan fungsi** kritis (mint, tukar, dll.). 3. **Hapus izin** (allowance) pengguna. 4. **Pemantauan berkelanjutan** atas kontrak yang diarsipkan. 5. **Komunikasi transparan** kepada komunitas. Tanpa proses penutupan yang tepat, **"pemakaman kontrak"** ini akan terus menjadi titik serangan yang menguntungkan bagi peretas, mengancam kesehatan dan kepercayaan ekosistem DeFi jangka panjang.

Foresight News06/13 06:19

Pelajaran dari Insiden Peretasan Raydium: Risiko Baru DeFi Tersembunyi dalam Kontrak Lama yang Terlupakan

Foresight News06/13 06:19

Beosin: 36 Insiden Keamanan Utama pada Mei, Kerugian Total Melebihi 76 Juta USD

Berdasarkan data pemantauan dari platform Beosin Alert, pada Mei 2026 telah terjadi **36 insiden keamanan besar** di ekosistem Web3, dengan total kerugian mencapai lebih dari **76,15 juta dolar AS**. Penyebab utama serangan adalah **kerentanan kontrak pintar (17 kasus)** dan **kebocoran kunci pribadi (10 kasus)**. **Insiden dengan Kerugian Terbesar:** * **Verus-Ethereum Bridge** (jembatan lintas rantai) mengalami serangan karena cacat dalam verifikasi pesan, menyebabkan kerugian **11,58 juta dolar AS**. * **Echo Protocol** menderita kebocoran kunci pribadi, memungkinkan penyerang mencetak aset meskipun keuntungan aktual sekitar **5,13 juta dolar AS**. **Analisis Tren:** 1. **Jenis Proyek & Jaringan:** Jembatan lintas rantai mencatat kerugian agregat tertinggi (sekitar 28 juta dolar AS). Ethereum adalah jaringan dengan kerugian terbesar (lebih dari 48,76 juta dolar AS), diikuti oleh BNB Chain, Monad, dan TON, menunjukkan bahwa serangan kini tersebar di banyak rantai. 2. **Kerentanan Umum:** Laporan ini menganalisis beberapa kasus, termasuk kerentanan desain tanda tangan di **Trusted Volumes** dan insiden kebocoran kunci pribadi di **StablR**, yang menyoroti tantangan keamanan operasional seperti manajemen kunci dan konfigurasi multisig yang lemah. 3. **Tren Ancaman:** Ancaman keamanan Web3 semakin meluas, tidak hanya pada kode kontrak tetapi juga pada infrastruktur, proses operasional, dan faktor manusia. Proyek-proyek perlu menerapkan keamanan berkelanjutan, termasuk audit berkala, penanganan kontrak warisan, dan mekanisme respons darurat. Laporan ini menekankan bahwa mengamankan ekosistem DeFi memerlukan pendekatan holistik yang mencakup pengembangan kode yang aman, praktik operasional yang ketat, dan kewaspadaan terus-menerus dari kedua penyedia layanan dan pengguna.

marsbit06/10 09:29

Beosin: 36 Insiden Keamanan Utama pada Mei, Kerugian Total Melebihi 76 Juta USD

marsbit06/10 09:29

活动图片