Platform DeFi yang telah ditinggalkan, Aztec Connect, menjadi korban eksploitasi senilai sekitar $2,1 juta dalam bentuk aset kripto pada Minggu (14/6). Insiden ini terjadi setelah seorang peretas berhasil memanfaatkan celah pada fungsi verifikasi smart contract platform tersebut.
Aztec Labs mengonfirmasi melalui unggahan di X bahwa mereka sedang menyelidiki eksploitasi yang menimpa Aztec Connect. Pihaknya menegaskan bahwa dana yang terkuras berasal dari smart contract platform versi lama dan tidak berdampak pada pengguna maupun aset di jaringan Aztec versi terbaru.
Kronologi Eksploitasi: Celah Verifikasi Smart Contract
Berdasarkan analisis dari firma keamanan blockchain BlockSec, serangan ini mengeksploitasi ketidakcocokan kritis antara cara kontrak memverifikasi transaksi dan cara penyelesaiannya di Ethereum. Secara teknis, transaksi yang diverifikasi pada kontrak Aztec Connect tidak terikat secara efektif pada set transaksi yang ditegakkan oleh zero-knowledge proof, sehingga jalur verifikasi dan logika penyelesaian di Ethereum menginterpretasikan daftar transaksi secara berbeda.
Dengan celah ini, peretas dapat menempatkan transaksi di mana kontrak mengkreditkan nilai tanpa memvalidasinya di Ethereum. Hal ini menciptakan saldo tanpa jaminan yang kemudian dapat ditarik oleh penyerang. Serangan dilakukan sebanyak tujuh kali pada tujuh jenis aset yang berbeda.
Rincian Aset yang Dicuri
Aset yang berhasil dicuri meliputi 909 Ether (ETH), 270.000 Dai (DAI), 167 wrapped staked ETH, serta sejumlah aset kripto lainnya. Data ini dikonfirmasi oleh firma keamanan CertiK melalui unggahan di platform X.
Kontrak Immutable yang Tak Bisa Diselamatkan
Yang membuat kasus ini semakin pelik adalah fakta bahwa smart contract Aztec Connect bersifat sepenuhnya immutable atau tidak dapat diubah. Platform ini dihentikan pada Maret 2023, dengan setoran dihentikan dan tim pengembang mengalihkan sumber daya ke Aztec Network generasi berikutnya.
Aztec Labs sendiri mengakui bahwa mereka tidak memiliki kunci admin atau kendali apa pun atas sistem tersebut. Kontrak tidak dapat dijeda, ditingkatkan, atau dimodifikasi oleh siapa pun. Pengembang kripto dengan nama samaran Param menyebut insiden ini sebagai pengingat bahwa kontrak DeFi yang ditinggalkan masih bisa menjadi target serangan bertahun-tahun kemudian.
Juni Bulan Kelam: $44 Juta Raib dari 12 Eksploitasi
Eksploitasi Aztec Connect menambah panjang daftar peretasan di industri kripto pada bulan Juni. Menurut data DeFiLlama, setidaknya $44 juta telah dicuri dari 12 eksploitasi berbeda sepanjang bulan ini. Insiden terbesar adalah kompromi kunci privat Humanity Protocol yang mengakibatkan kerugian $30 juta pada 8 Juni, disusul oleh Syscoin Bridge yang kehilangan $8 juta akibat eksploitasi fake proof sehari sebelumnya.
Pelajaran dari Immutability Smart Contract
Kasus ini juga menyoroti risiko fundamental dari sifat immutability smart contract di blockchain. Meskipun immutability sering dipuji sebagai fitur keamanan, insiden Aztec Connect menunjukkan sisi gelapnya: ketika kerentanan ditemukan di kontrak yang tidak dapat diperbarui, tidak ada yang bisa dilakukan untuk menghentikan eksploitasi.
Bagi pengguna DeFi, peristiwa ini menjadi pengingat penting untuk selalu memverifikasi status keamanan protokol sebelum menyimpan dana, terutama pada platform yang sudah tidak aktif dikembangkan. Audit keamanan berkala dan monitoring on-chain menjadi semakin krusial di tengah maraknya serangan terhadap ekosistem keuangan terdesentralisasi.
Hingga berita ini diturunkan, Aztec Labs menyatakan masih terus melakukan investigasi dan berkoordinasi dengan firma keamanan untuk melacak pergerakan dana hasil eksploitasi.
