# Artikel Terkait Kerentanan

Pusat Berita HTX menyediakan artikel terbaru dan analisis mendalam mengenai "Kerentanan", mencakup tren pasar, pembaruan proyek, perkembangan teknologi, dan kebijakan regulasi di industri kripto.

ZEC Jatuh Lebih dari 30%: Balik Layar 'Kerentanan Pencetakan Tak Terbatas' yang Tak Bisa Dibuktikan Pernah Dieksploitasi atau Tidak

Pada 5 Juni, pendiri Zcash Zooko Wilcox mengungkapkan sebuah kerentanan serius dalam kumpulan privasi Orchard Zcash, yang ditemukan oleh peneliti keamanan Taylor Hornby pada 29 Mei. Kerentanan ini memungkinkan penyerang membuat ZEC palsu yang tidak terbatas dan tidak terdeteksi di dalam Orchard dengan membangun transaksi yang seharusnya gagal verifikasi. Taylor telah berhasil membuat program eksploitasi lengkap di lingkungan uji lokal. Jika digunakan di mainnet, hal ini berpotensi menciptakan aset palsu dalam jumlah tak terbatas. Setelah berita ini tersebar, harga ZEC anjlok lebih dari 30%. Kerentanan, yang ada sejak Orchard diluncurkan pada 2022, telah diperbaiki melalui soft fork darurat pada 2 Juni dan hard fork pada 3 Juni. Meskipun demikian, komunitas tidak dapat secara kriptografis membuktikan apakah kerentanan ini pernah dieksploitasi dalam empat tahun terakhir, menimbulkan ketidakpastian mengenai integritas pasokan ZEC di Orchard. Mekanisme Turnstile Accounting Zcash dapat membatasi aliran keluar aset dari Orchard untuk melindungi batas pasokan total, tetapi tidak dapat secara langsung membuktikan tidak adanya ZEC palsu di dalam kumpulan tersebut. Untuk memulihkan kepercayaan, Shielded Labs mengusulkan peningkatan jaringan baru, termasuk kumpulan privasi baru dan aturan migrasi ketat dari Orchard, yang akan memungkinkan verifikasi publik atas integritas pasokan. Kerentanan ini ditemukan oleh Taylor dengan bantuan model AI umum Claude Opus 4.8, yang menunjukkan penyebaran kemampuan menemukan kerentanan kompleks ke model AI umum. Meskipun jendela serangan telah ditutup, pasar masih menunggu jawaban pasti mengenai apakah ZEC palsu pernah ada di Orchard sebelum perbaikan.

marsbit06/05 06:55

ZEC Jatuh Lebih dari 30%: Balik Layar 'Kerentanan Pencetakan Tak Terbatas' yang Tak Bisa Dibuktikan Pernah Dieksploitasi atau Tidak

marsbit06/05 06:55

Jatuh 30% dalam Satu Hari, Hayes Tiba-tiba Menjual Semua Posisi, Mengapa ZEC Dibahas Isu Keamanan?

**Singkatannya:** Pada 5 Juni, pendiri Zcash, Zooko Wilcox, mengungkapkan kerentanan kritis dalam kumpulan privasi Orchard Zcash. Kerentanan ini, yang ditemukan dengan bantuan model AI Anthropic Opus 4.8, memungkinkan penyerang membuat ZEC palsu dalam jumlah tak terbatas di dalam kumpulan Orchard yang terlindungi. Meskipun jaringan telah diperbarui untuk memperbaiki masalah ini, pengungkapan detailnya menyebabkan kepanikan pasar. Harga ZEC anjlok lebih dari 30% dalam sehari. Arthur Hayes, salah satu pendukung sebelumnya, mengumumkan telah menjual seluruh kepemilikannya. Inti masalahnya adalah cacat dalam implementasi kriptografi ("kendala yang tidak cukup ketat") di sirkuit Orchard, yang memungkinkan transaksi palsu lolos verifikasi. Zooko mengakui mustahil untuk membuktikan secara kriptografis apakah kerentanan ini pernah dieksploitasi sebelum perbaikan, yang berarti aset pengguna jujur di kumpulan Orchard mungkin telah diencerkan. Peristiwa ini menjadi peringatan keras bagi sektor privasi kripto, menunjukkan bahwa konstruksi matematika yang "sempurna" dalam teori masih dapat memiliki bug dalam penerapan. Ini menantang narasi bahwa "keamanan teknis sama dengan nilai inti". Kasus ini juga menyoroti era baru di mana alat AI dapat mempercepat penemuan kerentanan, baik oleh peneliti keamanan maupun ancaman potensial, membuat pendekatan keamanan pasif menjadi usang.

foresightnews_api06/05 04:36

Jatuh 30% dalam Satu Hari, Hayes Tiba-tiba Menjual Semua Posisi, Mengapa ZEC Dibahas Isu Keamanan?

foresightnews_api06/05 04:36

Vulnerabilitas Kelp DAO Picu Pelarian Dana Rp 1.500 Triliun, Dua Jalur Utama Lending DeFi Berhadapan Langsung

Serangan eksploitasi pada proyek Kelp DAO pada April 2026, di mana peretas memalsukan token rsETH senilai $292 juta untuk meminjam aset nyata dari Aave, memicu penarikan dana besar-besaran sebesar $15 miliar. Insiden ini menyingkap kelemahan mendasar dalam model pinjaman DeFi dengan kumpulan dana bersama (pool bersama) seperti yang digunakan Aave, di mana semua deposito digabungkan dan aturan risiko ditentukan oleh suara komunitas DAO. Kerentanan satu aset dapat membekukan seluruh pool, dan keputusan tata kelola yang didominasi oleh peminjam berisiko tinggi dapat merugikan deposan yang lebih aman. Sebaliknya, protokol seperti Morpho menggunakan model pasar terisolasi, di mana setiap pasar pinjaman berdiri sendiri dengan parameter tetap dan dikelola oleh lembaga ahli. Pendekatan ini membatasi risiko hanya pada pasar yang terdampak, seperti yang terlihat ketika eksploitasi yang sama hanya menyebabkan eksposur $1 juta di Morpho. Selain itu, Morpho menghilangkan biaya tersembunyi dari dana menganggur yang melekat pada pool bersama dan menawarkan suku bunga yang lebih efisien. Pilihan institusi seperti Coinbase, Apollo Global Management, dan Anchorage Digital untuk membangun di atas Morpho, serta potensi pertumbuhan besar aset stablecoin yang diatur, semakin menggarisbawahi keunggulan model pasar terisolasi yang memungkinkan kontrol dan kepatuhan risiko mandiri, berbeda dengan ketergantungan pada tata kelola DAO di model pool bersama.

marsbit05/29 01:48

Vulnerabilitas Kelp DAO Picu Pelarian Dana Rp 1.500 Triliun, Dua Jalur Utama Lending DeFi Berhadapan Langsung

marsbit05/29 01:48

TechFlow Intelligence Bureau: Emas Spot Tembus 4400 Dolar, Pasar Crypto Merosot

Teknologi AI & Keamanan: Claude dan ChatGPT dianggap telah mencapai Product-Market Fit (PMF) sebagai alat pengembang, meski ada perdebatan tentang kualitas kode. Kerentanan serius ditemukan di framework VLLM, membahayakan jutaan agen AI. Model Gemini Omni Flash dikritik karena terlalu banyak batasan, sementara peningkatan kuantisasi Qwen3.6 meningkatkan kemampuan pemrograman. Kripto & Regulasi: Karyawan Google didakwa menggunakan data tren pencarian internal untuk bertaruh di Polymarket, memenangkan lebih dari $1 juta. Analis menemukan akun dengan tingkat kemenangan 98% yang tidak wajar di platform yang sama. Perusahaan crypto terkait Trump dilaporkan hampir bangkrut setelah kehilangan $1,5 miliar. Chip & Pasar: Saham chip AI Korea Selatan mendorong KOSPI melonjak. Nvidia merilis model lokalisasi visual LocateAnything yang sangat cepat. Kinerja pemrograman Alibaba Qwen 3.7 menempati peringkat kedua global. Perusahaan Teknologi & Tren: DuckDuckGo mengalami lonjakan pengunjung setelah Google mendorong pencarian AI, menunjukkan penolakan pengguna. Data internal Microsoft menunjukkan bahwa menggunakan AI bisa lebih mahal daripada mempekerjakan manusia di banyak skenario. Pasar Saham & Makro: Meta meluncurkan langganan berbayar untuk Facebook dan Instagram. Saham Micron memberikan imbal hasil tinggi sebagai pemain memori AI. Emas spot anjlok di bawah $4.400/ons setelah sinyal hawkish Fed. Serangan AS terhadap Iran mendorong harga minyak mentah mendekati $97/barel. Produk Baru: YouTube akan melabeli video yang dihasilkan AI secara otomatis. **Garis Tersembunyi:** Batas informasi orang dalam sedang ditinjau ulang, diperdebatkan dalam kasus Polymarket. Sementara itu, narasi keuntungan teknologi AI dipertanyakan oleh data biaya dan preferensi pengguna yang sebenarnya, seperti yang terlihat pada laporan Microsoft dan lonjakan DuckDuckGo.

marsbit05/28 11:04

TechFlow Intelligence Bureau: Emas Spot Tembus 4400 Dolar, Pasar Crypto Merosot

marsbit05/28 11:04

Peringatan dari Ahli Audit Terkemuka: Semua DeFi Tidak Aman, Segera Tarik Dana!

**Peringatan Auditor DeFi: Semua Platform DeFi Tidak Aman, Segera Tarik Dana!** Manuel Aráoz, pendiri OpenZeppelin (perusahaan audit keamanan terkemuka di industri DeFi), baru-baru ini memperingatkan bahwa **semua DeFi kini tidak aman**. Ia bahkan telah menyarankan keluarga dan teman-temannya untuk menarik dana dari protokol-protokol besar seperti Aave, MakerDAO, dan Compound. Peringatan ini didasari oleh kekhawatiran mendalam terhadap **kemampuan AI (Artificial Intelligence)**. AI Coding Agent kini dapat mengenali dan mengeksploitasi kerentanan dalam kontrak pintar dengan kecepatan eksponensial. Yang dulu memerlukan waktu mingguan bagi peretas untuk menemukan celah, kini bisa dilakukan AI dalam hitungan menit. Sifat transparan DeFi, yang dulunya merupakan keunggulan, kini justru menjadi bahan pelatihan ideal bagi para penyerang. Realitasnya pun mengkhawatirkan. **April dan Mei 2024 menjadi bulan yang kelam bagi keamanan DeFi**, dengan serangkaian peretasan besar: - Drift Protocol: $280 juta (1 April) - Kelp DAO: $292 juta (19 April) - THORChain: >$10 juta (15 Mei) - Verus Bridge: ~$11,58 juta (18 Mei) - Echo Protocol: $76,7 juta (19 Mei) dan masih banyak lagi, menunjukkan kerentanan dari kode on-chain hingga manajemen off-chain. AI telah menjadi "senjata pamungkas" bagi peretas. Ia dapat melakukan pemindaian celah keamanan dalam hitungan detik, menghasilkan skrip serangan otomatis, dan bahkan mengoordinasi serangan phishing atau memantau kebocoran informasi tim pengembang secara real-time. Di sisi lain, proses pertahanan DeFi (seperti audit, voting governance, konfirmasi multi-signature) terlalu lambat untuk merespons serangan secepat ini. Ancaman akan semakin besar dengan hadirnya model AI seperti **Mythos dari Anthropic**, yang dikabarkan sangat mahir menemukan *zero-day漏洞* (celah keamanan yang belum diketahui) namun tidak dirilis publik karena kekhawatiran disalahgunakan. Intinya, **rasio risiko-imbalan DeFi sudah tidak seimbang**. Pengguna mempertaruhkan 100% modalnya untuk potensi imbal hasil tahunan yang kini seringkali hanya berkisar satu digit (misal 5%). Risiko kehilangan seluruh dana dalam hitungan menit akibat peretasan jauh lebih besar dibanding imbal hasil yang ditawarkan. Oleh karena itu, bagi pengguna yang tidak siap menanggung risiko kehilangan total, **menarik dana dan mengamankan aset mungkin merupakan pilihan paling bijaksana saat ini.**

marsbit05/28 04:12

Peringatan dari Ahli Audit Terkemuka: Semua DeFi Tidak Aman, Segera Tarik Dana!

marsbit05/28 04:12

Peringatan dari Ahli Audit Top: Semua DeFi Tidak Aman, Segera Keluar!

"Semua DeFi Sudah Tidak Aman": Peringatan Keras dari Pakar Audit Keamanan Manuel Aráoz, pendiri OpenZeppelin—perusahaan audit keamanan terkemuka di industri DeFi—mempublikasikan peringatan mengejutkan: ia percaya semua protokol DeFi sudah tidak aman. Ia bahkan mulai menyarankan teman dan keluarga untuk menarik dana dari protokol besar seperti Aave, MakerDAO, dan Compound. Penyebab utama kekhawatiran ini adalah kemajuan pesat Kecerdasan Buatan (AI). AI Coding Agent kini mampu mengidentifikasi dan mengeksploitasi kerentanan kontrak pintar dengan efisiensi eksponensial. Apa yang dulu membutuhkan waktu berminggu-minggu bagi ahli keamanan, kini dapat dilakukan AI dalam hitungan menit. Keadaan semakin parah karena sifat asimetris keamanan DeFi: pihak bertahan harus memperbaiki semua celah, sementara penyerang hanya perlu menemukan satu. Realitas mendukung peringatan ini. Bulan April dan Mei 2024 diwarnai serangkaian peretasan besar-besaran: - Drift Protocol: $280 juta (1 April) - Kelp DAO: $292 juta (19 April) - THORChain, Verus, Echo Protocol, StablR, SquidRouter, dan StakeDAO juga mengalami serangan dengan kerugian jutaan dolar sepanjang Mei. AI telah menjadi "senjata pamungkas" bagi peretas. Kemampuannya mencakup pemindaian celah nol-hari dalam hitungan detik, pembuatan skrip serangan otomatis, hingga pengintaian aktivitas pengembang di platform seperti GitHub. Dengan situasi ini, rasio risiko-imbalan bagi pengguna DeFi menjadi tidak seimbang. Imbal hasil dari protokol utama kini seringkali hanya satu digit (sekitar 5%), tetapi pengguna mempertaruhkan 100% modalnya terhadap risiko serangan yang dapat mengosongkan dana dalam semenit. Tanpa perlindungan asuransi atau hukum yang memadai, Manuel Aráoz berpendapat bahwa pilihan paling rasional saat ini adalah menarik dana dan mengamankan modal.

Odaily星球日报05/28 04:00

Peringatan dari Ahli Audit Top: Semua DeFi Tidak Aman, Segera Keluar!

Odaily星球日报05/28 04:00

Laporan Pertama Mythos Terbit: Miliaran Perangkat Global 'Terkelupas', 10.000 Kerentanan Fatal Ditemukan dalam 30 Hari

Laporan pertama proyek "Glasswing" dari Anthropic mengungkapkan bahwa model AI generasi berikutnya, Claude Mythos Preview, telah mengidentifikasi lebih dari 10.000 kerentanan perangkat lunak tingkat tinggi atau kritis hanya dalam 30 hari. Berkolaborasi dengan sekitar 50 perusahaan teknologi dan pengembang infrastruktur kunci global, Mythos tidak hanya menemukan bug tersembunyi selama 27 tahun tetapi juga berhasil mencegah penipuan transfer bank senilai $1,5 juta. Proyek ini memindai lebih dari 1.000 proyek open-source inti, menemukan total 23.019 kerentanan, dengan 6.202 di antaranya diklasifikasikan sebagai berisiko tinggi atau kritis. Akurasi temuan yang dikonfirmasi secara manual mencapai 90,6%. Namun, temuan yang luar biasa ini menciptakan krisis baru: kecepatan manusia dalam memperbaiki bug jauh tertinggal dibandingkan kecepatan AI dalam menemukannya. Banyak pemelihara proyek open-source kewalahan dan meminta perlambatan pelaporan. Sebagai respons, Anthropic meluncurkan "Claude Security", alat yang dapat secara otomatis menulis patch perbaikan, membantu perusahaan memperbaiki lebih dari 2.100 kerentanan dalam tiga minggu. Perusahaan juga merilis toolkit untuk membantu peneliti keamanan. Meskipun sangat kuat, Anthropic tetap berhati-hati dalam merilis Mythos secara publik karena potensi penyalahgunaannya oleh aktor jahat. Mereka menekankan pentingnya memperpendek siklus patch, menerapkan kebijakan pembaruan wajib, dan menguatkan autentikasi multi-faktor. Tujuan akhirnya adalah menciptakan dunia di mana kode menjadi jauh lebih aman dan serangan peretasan menjadi peristiwa langka.

marsbit05/25 00:12

Laporan Pertama Mythos Terbit: Miliaran Perangkat Global 'Terkelupas', 10.000 Kerentanan Fatal Ditemukan dalam 30 Hari

marsbit05/25 00:12

Bisa Mencuri Data Sembarangan! Alat Pemrograman AI Populer Ini Terungkap Punya Celah Besar

Alat pemrograman AI populer Claude Code dari Anthropic terbukti memiliki celah keamanan besar yang memungkinkan pencurian data sembarangan. Peneliti keamanan Aonan Guan mengungkapkan bahwa sandbox jaringan di Claude Code, yang diluncurkan sejak Oktober 2025, memiliki kerentanan bypass lengkap melalui serangan injeksi *null byte* dalam protokol SOCKS5. Kerentanan ini memungkinkan proses di dalam sandbox mengakses host mana pun yang sebenarnya dilarang oleh kebijakan pengguna. Celah ini terjadi karena perbedaan interpretasi string antara lapisan JavaScript (yang memeriksa izin) dan fungsi C (yang menangani koneksi). Dengan menyisipkan *null byte* (misal: `attacker.com\x00.google.com`), filter mengizinkan akses karena menganggap koneksi menuju Google, tetapi koneksi sebenarnya dialihkan ke server penyerang. Ketika dikombinasikan dengan teknik injeksi prompt (seperti yang dijelaskan dalam penelitian sebelumnya "Comment & Control"), celah ini dapat membentuk rantai serangan lengkap untuk mengekstrak kredensial API, token GitHub, atau data sensitif lainnya dari lingkungan pengguna dan mengirimkannya ke server eksternal. Yang mengkhawatirkan, Anthropic diketahui telah memperbaiki celah ini secara diam-diam pada pembaruan April tanpa pemberitahuan keamanan, CVE, atau informasi kepada pengguna. Tidak ada versi Claude Code yang aman dari risiko bypass sandbox selama 5,5 bulan sejak fitur sandbox diluncurkan. Peneliti menekankan bahwa rasa aman yang palsu dari sandbox yang cacat justru lebih berbahaya daripada tidak memiliki sandbox sama sekali.

marsbit05/24 01:12

Bisa Mencuri Data Sembarangan! Alat Pemrograman AI Populer Ini Terungkap Punya Celah Besar

marsbit05/24 01:12

Peretas yang Menargetkan Crypto Anda Kini Dapat Peningkatan AI — Laporan Google Adalah Panggilan Bangun

Laporan terbaru dari Google's Threat Intelligence Group (GTIG) memperingatkan bahwa kecerdasan buatan (AI) kini digunakan secara besar-besaran oleh peretas yang didukung negara dan aktor ancaman kriminal. AI dimanfaatkan untuk membuat malware otonom, eksploit zero-day yang dihasilkan AI, dan operasi pencurian kredensial, yang menjadi ancaman langsung bagi pengguna aset kripto. Laporan tersebut mengungkap kasus pertama di mana aktor ancaman kriminal diduga menggunakan eksploit zero-day yang dikembangkan dengan bantuan AI. Selain itu, malware polimorfik (yang dapat mengubah strukturnya sendiri) yang dipercepat pengembangannya oleh AI juga telah teridentifikasi. Ancaman paling langsung bagi pengguna kripto adalah malware bernama PROMPTSPY, yang mampu menginterpretasi keadaan sistem secara dinamis dan menghasilkan perintah secara real-time untuk mencuri kredensial, bahkan berpotensi mengalahkan sistem autentikasi dua faktor (2FA) berbasis SMS atau aplikasi. GTIG menyimpulkan bahwa praktik keamanan standar yang memadai beberapa tahun lalu kini tidak lagi memadai. Langkah-langkah perlindungan yang lebih kuat, seperti kunci keamanan perangkat keras, perangkat penandatanganan terisolasi (air-gapped), dan arsitektur dompet multi-signature, kini menjadi sangat penting.

bitcoinist05/12 11:38

Peretas yang Menargetkan Crypto Anda Kini Dapat Peningkatan AI — Laporan Google Adalah Panggilan Bangun

bitcoinist05/12 11:38

38 Ribu Aplikasi Terpapar, 2.000+ Aplikasi Bocor, Pemrograman AI Mengubah 'Jaringan Internal' Menjadi Jaringan Publik

“Alat pengkodean AI seperti ‘vibe coding’ membocorkan data sensitif perusahaan dan pribadi secara besar-besaran ke internet terbuka,” demikian temuan penelitian oleh startup keamanan siber RedAccess. Sekitar 38 ribu aplikasi yang dibuat menggunakan alat AI seperti Lovable, Base44, Netlify, dan Replit dapat diakses publik, dengan hampir 2.000 di antaranya terbukti mengekspos informasi rahasia seperti rekam medis, data keuangan, dokumen internal perusahaan, dan percakapan chatbot berisi detail pelanggan. Peneliti menemukan banyak aplikasi web ini hampir tidak memiliki mekanisme keamanan atau autentikasi. Bahkan, beberapa memberi akses admin kepada siapapun yang menemukan URL-nya. Masalahnya diperparah oleh pengaturan default platform yang membuat aplikasi bersifat publik dan terindeks mesin pencari, serta dikembangkan oleh “pengembang warga” tanpa latar belakang keamanan yang melewati proses peninjauan internal. Perusahaan platform seperti Replit dan Wix (pemilik Base44) menekankan bahwa konfigurasi keamanan adalah tanggung jawab pengguna, sementara Lovable menyatakan sedang menyelidiki laporan tersebut. Insiden ini menyoroti risiko keamanan sistemik dari alat pembuat aplikasi berbasis AI yang memudahkan pembuatan tanpa pemahaman keamanan yang memadai.

marsbit05/11 04:24

38 Ribu Aplikasi Terpapar, 2.000+ Aplikasi Bocor, Pemrograman AI Mengubah 'Jaringan Internal' Menjadi Jaringan Publik

marsbit05/11 04:24

活动图片

Kategori Populerright-arrow

Tag Populerright-arrow

Bitcoinright-arrow

Berita Industriright-arrow