Tim keamanan Yayasan Ethereum baru saja membuktikan bahwa kecerdasan buatan mampu menemukan kerentanan nyata di infrastruktur blockchain paling kritis. Dalam eksperimen terbarunya, agen-agen AI yang dikerahkan untuk mengaudit sistem komunikasi antar-node Ethereum berhasil mengidentifikasi bug serius yang dapat melumpuhkan validator dari jarak jauh.
Namun, ada satu pelajaran penting dari eksperimen ini: sebagian besar kerja keras justru bukan pada menemukan bug, melainkan memisahkan temuan asli dari laporan palsu yang tampak meyakinkan.
Eksperimen: AI Memburu Celah di Jantung Ethereum
Ethereum beroperasi di atas ribuan node—komputer biasa yang menjalankan perangkat lunak jaringan, masing-masing menyimpan salinan blockchain dan meneruskan pesan ke tetangganya. Validator, yaitu node yang mempertaruhkan ether (ETH) dan memberikan suara atas blok mana yang sah, berada di atas lapisan itu. Validator hanya berfungsi jika pesan sampai ke mereka.
Bug yang ditemukan berada di gossipsub, sistem penyebaran pesan peer-to-peer yang menjadi tulang punggung komunikasi antar-node Ethereum. Celah ini memungkinkan sistem jarak jauh memicu crash—di mana perangkat lunak node menemui perhitungan mustahil, menyerah, dan mematikan dirinya sendiri, membawa validator offline hingga operator me-restart secara manual.
Tim Protocol Security Ethereum Foundation, yang dipimpin oleh Nikos Baxevanis, menerbitkan catatan lapangan tentang eksperimen ini. Bug tersebut telah diperbaiki dan diungkapkan sebagai CVE-2026-34219, dengan kredit kepada tim peneliti.
Masalah Besar: False Positive yang Meyakinkan
Kejutan terbesar bukanlah bahwa AI menemukan bug, melainkan betapa sedikitnya waktu yang dihabiskan untuk menemukannya dan betapa banyak waktu yang dihabiskan untuk membedakan bug asli dari yang hanya tampak asli.
Baxevanis menulis: "The surprise was how little of the work went into finding them, and how much went into telling the real bugs from the ones that just looked real."
Berbeda dengan fuzzer tradisional—alat standar yang melemparkan data rusak ke perangkat lunak sampai sesuatu rusak dan mengembalikan catatan crash yang bisa dikonfirmasi insinyur dalam hitungan menit—agen AI mengembalikan narasi lengkap. Mereka menelusuri bagaimana celah bisa dicapai, berargumen mengapa itu penting, mengusulkan rating tingkat keparahan, dan menyediakan kode yang mendemonstrasikan serangan. Semuanya dalam prosa lancar, terbaca sama baik untuk bug asli maupun yang diciptakan.
Tiga jenis false positive terus berulang. Pertama, crash yang hanya terjadi di build pengujian, di mana kompiler mengaktifkan pemeriksaan keamanan yang tidak dibawa oleh perangkat lunak produksi. Kedua, serangan yang hanya bekerja jika nilai berbahaya ditanam di dalam program secara manual, karena setiap rute yang bisa diambil pihak luar menolak nilai tersebut terlebih dahulu. Ketiga, pembuktian formal—latihan membuktikan secara matematis bahwa kode berperilaku benar—di mana bukti lolos dengan mendemonstrasikan sesuatu yang benar secara trivial, tanpa memberi tahu apa pun tentang perangkat lunak sebenarnya.
Keterbatasan AI dan Pola Serangan DeFi
Kekhawatiran lain adalah bahwa agen AI kuat dalam penalaran tentang satu momen tunggal, tetapi lemah pada bug yang melibatkan rangkaian langkah-langkah yang masing-masing valid secara individual—di mana tidak ada yang salah kecuali urutannya.
Ini mendeskripsikan sebagian besar eksploitasi yang menguras protokol kripto tahun ini. Metode serangan menggunakan alat teknis yang secara individual sah, tetapi menyembunyikan pencurian dalam urutan pelaksanaan beberapa langkah biasa yang mengarah pada hasil jahat.
Serangan Edel Finance awal Juli ini, misalnya, menyiasati price feed Chainlink yang akurat melalui lapisan wrapping di atasnya. Sementara serangan governance BONK menggunakan pembelian token, voting, dan eksekusi proposal yang masing-masing merupakan transaksi biasa.
Dampak dan Masa Depan Keamanan Blockchain
Temuan ini memiliki implikasi signifikan bagi masa depan keamanan blockchain. Pertama, ini menegaskan bahwa AI dapat menjadi alat bantu yang powerful dalam audit keamanan, tetapi belum bisa menggantikan penilaian manusia. Kedua, pendekatan hibrida—AI mengusulkan sekuens mencurigakan dan manusia memvalidasi—tampaknya menjadi model kerja yang paling menjanjikan.
Eksperimen Ethereum Foundation ini datang di tengah meningkatnya serangan terhadap protokol DeFi. Kuartal kedua 2026 tercatat sebagai kuartal dengan insiden peretasan terbanyak sepanjang sejarah, dengan 83 eksploitasi dan sekitar $755 juta dicuri. Total value locked (TVL) DeFi anjlok 39% menjadi sekitar $70 miliar pada Juni 2026.
Jawaban Ethereum Foundation adalah membiarkan agen AI menyarankan sekuens mana yang layak diuji, dan tetap menjalankan pengujian tersebut. Ini adalah model kolaborasi manusia-AI yang kemungkinan akan menjadi standar industri ke depan.
Sumber: CoinDesk — "AI Found an Ethereum Bug That Could Take Validators Offline, But Humans Had to Prove It" (11 Juli 2026)



