AI Percepat Usangnya Audit Smart Contract
Laporan terbaru dari CertiK mengungkapkan bahwa hacker berhasil mencuri dana sebesar $1,32 miliar sepanjang paruh pertama tahun 2026. Angka ini menunjukkan bahwa meskipun industri terus memperkuat sistem keamanan, para penyerang mengadopsi strategi yang semakin canggih dan sulit dideteksi. Pakar keamanan blockchain mendesak protokol kripto untuk melakukan audit ulang smart contract mereka karena perangkat AI mempermudah hacker menemukan kerentanan dengan kecepatan yang belum pernah terjadi sebelumnya.
Kepala Kebijakan TRM Labs, Ari Redbord, menegaskan bahwa pendekatan audit satu kali tidak lagi memadai. Data kami mendukung perlunya peninjauan berkelanjutan, bukan audit satu kali. Teknik serangan bergerak lebih cepat daripada yang bisa ditanggung oleh satu audit dari hari peluncuran, ujar Redbord. Ia menambahkan bahwa pola serangan tahun lalu sudah tidak relevan untuk melindungi protokol dari ancaman tahun ini.
Strategi Baru Hacker: Targetkan Codebase Protokol Mati
Salah satu strategi paling mengkhawatirkan yang diidentifikasi CertiK adalah kecenderungan hacker untuk meninjau ulang basis kode atau codebase lama dari protokol yang sudah tidak aktif. Upaya ini kemungkinan besar dibantu oleh perangkat otomatis berbasis AI yang mampu mengidentifikasi kerentanan laten dalam skala besar.
Insiden terbaru terjadi pada blockchain berfokus privasi Zcash, di mana insinyur keamanan Shielded Labs, Taylor Hornby, menemukan kerentanan keamanan besar menggunakan agen audit kustom yang didukung oleh Claude Opus 4.8 dari Anthropic. Bug yang telah ada selama empat tahun tersebut dapat memungkinkan pemalsuan yang tidak terdeteksi di dalam Orchard shielded pool, salah satu fitur privasi utama jaringan Zcash. Kerentanan ini kini telah ditambal.
Serangan ke Protokol yang Sudah Tutup
Serangan terhadap protokol yang sudah tidak aktif menjadi tren yang semakin mengkhawatirkan. Pada 14 Juni, hacker mengeksploitasi kerentanan smart contract untuk mencuri $2,1 juta dari Aztec Connect, sebuah protokol yang telah ditutup sejak Maret 2023. Lima hari kemudian, smart contract di bursa terdesentralisasi mySwap dieksploitasi sebesar $300.000, meskipun antarmuka pengguna mySwap telah ditutup untuk setoran likuiditas baru selama lebih dari enam bulan.
Di sisi lain, masih ada secercah harapan. Pada bulan Mei, seorang white hat bernama 0xflorent berhasil membantu memulihkan 1.003 ETH senilai lebih dari $1,72 juta dari 48 investor yang terlibat dalam initial coin offering atau ICO Hong Coin tahun 2016. ICO tersebut gagal diluncurkan setelah tidak mencapai target pendanaan, dan dana tetap terkunci di smart contract akibat bug pada fungsi pengembalian dana otomatis.
Ancaman $72,3 Miliar Mengintai DeFi
Studi yang dilakukan Anthropic menemukan bahwa agen AI berhasil mengidentifikasi kerentanan yang dapat dieksploitasi senilai $4,6 juta dalam smart contract. Sementara itu, lebih dari $72,3 miliar aset kripto terkunci di ratusan protokol DeFi, memberikan insentif yang sangat besar bagi hacker untuk terus mengeksploitasi kerentanan smart contract.
CertiK memperingatkan bahwa jendela kerentanan maksimum tidak menutup setelah peluncuran, dan menekankan bahwa proyek yang mengoperasikan infrastruktur warisan harus memperlakukan audit ulang sebagai persyaratan operasional berulang, bukan sekadar latihan satu kali saat deployment. Redbord menambahkan bahwa industri dan regulator perlu terus mencari cara untuk memitigasi aktivitas siber berbahaya dari Korea Utara dan mengganggu jaringan pencucian uang lintas negara.



