Penulis:Gino Matos
Kompilasi:Luffy,Foresight News
TL;DR:
- Peretas memanfaatkan kolam pasar maker otomatis V3 Raydium yang telah lama dinonaktifkan untuk mencuri aset senilai sekitar 1,34 juta dolar AS.
- Insiden ini mengungkap masalah umum: Kontrak lama proyek DeFi yang telah dinonaktifkan masih berjalan di blockchain. Infrastruktur dasar yang terlupakan ini telah menjadi target serangan yang mudah diabaikan.
- Laporan publik menunjukkan, sejak Maret 2025, setidaknya telah terjadi 8 insiden serupa yang melibatkan peretasan kontrak lama/terbengkalai di industri, yang berarti masih ada banyak kode lama yang tidak dikelola dan tetap dapat dipanggil dari luar.
Baru-baru ini, sebuah kerentanan di Raydium AMM V3 menyebabkan kerugian sebesar 1,34 juta dolar AS. Insiden ini terkait dengan lima kolam likuiditas di luar sistem produk saat ini proyek tersebut, yang tidak didukung oleh UI atau SDK Raydium, dan tidak dapat diakses oleh pengguna biasa, tetapi pada akhirnya tetap dieksploitasi oleh peretas.
Serangan ini menargetkan kontrak lama dan infrastruktur dasar yang diabaikan oleh industri, mengungkap celah besar dalam manajemen siklus hidup kontrak pintar. Masalah semacam ini tidak hanya terjadi pada bursa terdesentralisasi ekosistem Solana ini saja.
Kategori Risiko yang Terabaikan
Menurut statistik laporan insiden keamanan publik, dari Maret 2025 hingga sekarang, setidaknya telah terjadi 8 kasus serangan yang jelas disebabkan oleh kontrak yang sudah usang, ditinggalkan, atau lama, dengan total kerugian kumulatif sekitar 10,8 juta dolar AS.
Jika insiden keamanan yang disebabkan oleh kolam likuiditas lama dan produk pendukung versi lama juga dimasukkan dalam statistik, jumlah kejadian terkait mencapai 10 kasus (termasuk peretasan Raydium kali ini), dengan total skala kerugian sekitar 22,5 juta dolar AS.
Saat ini, sebagian besar platform pelacakan insiden keamanan di industri mengklasifikasikan jenis serangan berdasarkan penyebab teknis, klasifikasi umum meliputi: kerentanan kode kontrak pintar, kegagalan kontrol otorisasi, manipulasi oracle, kebocoran kunci privat, cacat jembatan lintas rantai, dll.
Sementara kontrak zombie (yaitu kontrak lama yang diumumkan dinonaktifkan oleh proyek tetapi tetap dapat dipanggil secara normal di rantai), termasuk dalam dimensi risiko yang sama sekali berbeda. Ini adalah insiden keamanan yang disebabkan oleh masalah dalam manajemen siklus hidup kontrak, namun selalu tenggelam dalam item statistik berbagai kerentanan rutin dan belum diklasifikasikan secara terpisah.
Alasan kolam pasar maker otomatis V3 Raydium ditinggalkan adalah karena proyek Serum yang menjadi ketergantungannya secara resmi ditutup, menyebabkan set kontrak lama ini kehilangan fungsinya semula, dan aset likuiditas yang terkait juga terus menganggur di rantai.
Kontrak versi baru yang saat ini digunakan Raydium akan melakukan verifikasi ganda terhadap dua informasi kunci: pertama, memeriksa proporsi aset melalui mekanisme verifikasi total pasokan; kedua, memverifikasi alamat pencetakan token likuiditas dan informasi berbagai akun terkait.
Namun, kontrak V3 lama ini benar-benar menghilangkan dua proses verifikasi tersebut. Peretas memanfaatkan kerentanan ini untuk memalsukan token likuiditas baru dan menyamar sebagai kredensial sah, langsung melewati semua aturan kontrol risiko.
Dalam insiden ini, total sekitar 150.177 RAY, 5.603 SOL, dan 893.700 USDC dicuri. Aset-aset ini telah lama disimpan di kolam dana lama platform, meskipun terpisah dari bisnis utama, namun izin panggilan di rantai tidak pernah ditutup.
Delapan Kasus Mengungkap Masalah Umum
Sejak 2025, beberapa proyek DeFi terkenal telah mengalami masalah dengan kontrak lama mereka. Semua peristiwa menunjukkan karakteristik yang sama: pihak proyek mengklaim bahwa produk versi saat ini dan pengguna aktif tidak terpengaruh, tetapi karena kontrak lama tidak dinonaktifkan sepenuhnya, pada akhirnya seluruh kerugian tetap ditanggung oleh perbendaharaan proyek.
Mengapa Risiko Kontrak Lama Diabaikan
Saat ini, sebagian besar sistem klasifikasi insiden keamanan di industri berfokus pada metode serangan, objek manipulasi, titik kesalahan kode, yang merupakan perspektif analisis "berangkat dari kerentanan teknis". Hal ini juga menyebabkan insiden tipe kontrak zombie tertutupi. Inti dari masalah semacam ini bukanlah kesalahan penulisan kode, tetapi proyek seharusnya menonaktifkan kontrak lama secara menyeluruh namun tidak melakukannya.
Sebuah makalah penelitian industri pada tahun 2025 menyusun 50 insiden keamanan kripto besar global antara 2022 hingga 2025, dengan total kerugian lebih dari 1 miliar dolar AS. Penelitian menunjukkan bahwa serangan on-chain yang sangat merugikan seringkali merupakan hasil dari tumpang tindih risiko berantai, yang melibatkan beberapa level sekaligus seperti operasi manual, pemeliharaan sehari-hari, model ekonomi, siklus hidup kontrak, tata kelola komunitas, dll.
Makalah ini mengusulkan kerangka analisis akar penyebab empat lapisan, dengan jelas membedakan kerentanan manajemen siklus hidup kontrak dan kerentanan tata kelola komunitas sebagai kategori risiko independen dari kerentanan penulisan kode. Masalah kontrak zombie adalah contoh tipikal dari kerentanan manajemen siklus hidup. Namun, dalam sistem statistik keamanan yang ada, insiden semacam ini semuanya dikategorikan ke dalam "kerentanan kode", dan data kerugian terkait juga tertutupi di bawah klasifikasi lain, tidak mendapatkan perhatian yang cukup dari industri.
Waspadai "Kuburan Kontrak": Fasilitas Lama Telah Menjadi Titik Serangan Baru
Jika proyek DeFi terus menganggap "penonaktifan kontrak" sebagai hal sepele yang tidak penting, hanya menandai "kontrak ini telah dinonaktifkan" dalam dokumentasi produk, tanpa menarik aset yang menganggur, menutup fungsi panggilan, dan terus memantau statusnya, maka peretas akan terus mengincar "kuburan kontrak" ini.
Setiap catatan penerapan historis dari proyek DeFi besar kini telah menjadi target serangan yang dapat ditelusuri dan dimanfaatkan oleh peretas. Total kerugian 22,5 juta dolar AS yang saat ini tercatat hanyalah nilai dari kasus yang terpapar secara publik, risiko sebenarnya jauh lebih tinggi.
Kolam dana lama yang menyimpan aset namun terpisah dari alur penggunaan pengguna utama, antarmuka otorisasi historis, modul koneksi kerja sama awal, menerima intensitas pemantauan pemeliharaan yang jauh lebih rendah daripada sistem bisnis operasional, justru menjadi target serangan pilihan pertama bagi peretas.
Untuk mengubah situasi ini, pertama-tama, "kontrak zombie" harus dicantumkan sebagai kategori risiko independen dan insiden dicatat secara terpisah; kedua, proses penonaktifan kontrak harus dimasukkan ke dalam proses keamanan standar, ditempatkan pada posisi yang sama dengan audit kode. Hanya dengan melakukan pemeliharaan siklus hidup yang menyeluruh, ruang lingkup serangan dapat diperkecil secara efektif.
Saat ini, cara penanganan di industri pada dasarnya sama, Raydium menggunakan perbendaharaan proyek untuk mengganti kerugian sebesar 1,34 juta dolar AS, Transit Finance dan Huma Finance juga menanggung kerugian pengguna melalui pihak proyek.
Ini juga berarti bahwa penonaktifan kontrak bukan lagi hanya pekerjaan penandaan dokumen, tetapi merupakan bagian penting dari kontrol keamanan.
Tujuh Standar Kontrol Keamanan untuk Penonaktifan Kontrak
Untuk penonaktifan kontrak lama, industri dapat membangun proses kontrol standar, persyaratan spesifik dan fungsinya adalah sebagai berikut:
Hanya menandai "kontrak telah dinonaktifkan" dalam dokumen hanyalah mengalihkan risiko keamanan ke perbendaharaan proyek, namun potensi serangan tetap ada. Hanya mengumumkan penonaktifan di tingkat produk tanpa menonaktifkannya secara teknis, kontrak lama akan tetap dalam keadaan dapat dipanggil: tim proyek lalai mengawasi, sementara peretas selalu mengawasi dengan tajam.
Nilai proyek DeFi tidak hanya tercermin dalam skala aset yang terkunci saat ini, tetapi juga terendap dalam kode historis dan arsitektur dasar yang telah dilalui. Dan sejarah yang terlupakan ini, kini telah menjadi titik masuk keamanan baru.
