Eksploitasi Kedua Aztec Connect dalam Seminggu
Protokol DeFi yang sudah tidak aktif, Aztec Connect, kembali menjadi korban eksploitasi untuk kedua kalinya dalam waktu kurang dari seminggu. Insiden terbaru ini mengakibatkan kerugian sekitar $2,1 juta atau setara Rp34 miliar, memperparah total kerugian sektor DeFi sepanjang Juni 2026 yang kini mendekati $44 juta.
Menurut laporan dari firma keamanan blockchain SlowMist, eksploitasi kedua ini terjadi pada kontrak pintar Aztec Connect yang sudah ditinggalkan selama tiga tahun terakhir. Sebelumnya, pada pertengahan Juni, protokol yang sama juga sudah diserang dengan total kerugian gabungan mencapai lebih dari $4 juta.
Ratusan ETH dan Stablecoin Dikuras
BlockSec melalui sistem pemantauan Phalcon-nya menjadi pihak pertama yang mendeteksi transaksi mencurigakan tersebut. Data on-chain menunjukkan bahwa penyerang berhasil menguras 909 ETH, 270.000 DAI, dan 167 wstETH dari kontrak yang sudah tidak dipelihara itu.
CertiK dan BlockSec mengidentifikasi akar masalah eksploitasi ini sebagai ketidakcocokan validasi (validation mismatch) pada fungsi kontrak. Satu bagian kontrak hanya memverifikasi bagian awal dari data bukti (proof) transaksi, sementara instruksi transfer token di bagian lain data lolos tanpa verifikasi penuh. Celah inilah yang memungkinkan penyerang memanipulasi penarikan dana tanpa memicu proses verifikasi lengkap.
Kontrak Tak Bisa Dihentikan, Dana Terkunci Selamanya
Aztec Labs, pengembang asli protokol tersebut, menegaskan bahwa mereka sama sekali tidak memiliki kendali atas kontrak yang sudah ditinggalkan. "Aztec Connect sudah ditinggalkan 3 tahun lalu. Aztec Labs tidak memegang kunci administratif atau kendali apa pun atas sistem tersebut," tegas pernyataan resmi Aztec Labs. Pihak Aztec Foundation juga mengklarifikasi bahwa insiden ini tidak berkaitan dengan token AZTEC ERC-20 yang saat ini beredar maupun jaringan Aztec baru yang berfokus pada kontrak pintar privat.
Kasus ini menjadi pengingat pahit bagi ekosistem DeFi tentang dilema fundamental: di satu sisi, imutabilitas kontrak pintar menghilangkan kebutuhan kepercayaan pada admin keys, namun di sisi lain, fitur ini juga meniadakan kemampuan respons darurat saat terjadi eksploitasi. Kontrak Aztec Connect, yang sebelum dieksploitasi masih menampung total value locked (TVL) sekitar $2,15 juta, akan tetap aktif dan terdanai di blockchain selamanya.
Pelajaran untuk Ekosistem DeFi
Insiden Aztec ini memicu diskusi baru di komunitas kripto tentang perlunya mekanisme structured shutdown yang mencakup peringatan berulang kepada pengguna, batas waktu penarikan dana, dan pemantauan berkelanjutan bahkan setelah proyek resmi dihentikan. Investor juga diimbau untuk segera menarik dana dari protokol yang sudah tidak aktif untuk menghindari risiko serupa. Dengan total eksploitasi DeFi Juni 2026 yang mendekati $44 juta, seruan untuk standar keamanan yang lebih ketat semakin menguat.
