Peretas mengeksploitasi celah verifikasi di kontrak pintar Aztec Connect yang sudah tidak aktif, menguras 909 ETH dan token senilai total $2,19 juta pada 14 Juni 2026.
Kronologi Serangan
Dunia kripto kembali diguncang insiden keamanan. Protokol privasi berbasis Ethereum, Aztec Connect, menjadi korban peretasan besar yang mengakibatkan kerugian sekitar $2,19 juta. Insiden ini terjadi pada 14 Juni 2026 dan pertama kali terdeteksi oleh firma keamanan blockchain BlockSec Phalcon.
Meskipun Aztec Connect sudah tidak lagi dikembangkan dan masuk fase sunset lebih dari tiga tahun lalu, kontrak pintar versi lamanya tetap menyimpan dana pengguna dalam jumlah signifikan. Celah inilah yang berhasil dimanfaatkan oleh peretas untuk menguras aset kripto yang tersimpan.
Berdasarkan laporan BlockSec, serangan ini menargetkan kontrak RollupProcessorV3 milik Aztec Connect. Awalnya, peneliti menduga kelemahan terletak pada kontrol akses yang hilang. Namun setelah ditelusuri lebih dalam, ditemukan bahwa akar masalahnya jauh lebih kompleks: sebuah cacat arsitektural dalam cara protokol memverifikasi data transaksi.
Peretas berhasil mengeksploitasi ketidakcocokan antara logika verifikasi zero-knowledge proof dan logika settlement di Layer 1 Ethereum. Singkatnya, bagian verifikasi ZK memproses semua transaksi dan memasukkannya ke dalam Merkle tree, namun kontrak settlement hanya memproses sebagian transaksi berdasarkan variabel numRealTxs. Peretas memanipulasi variabel ini untuk menempatkan transaksi deposit sah di slot akhir, sehingga pemeriksaan keamanan kritis berhasil dilewati.
Akibatnya, peretas berhasil menciptakan tujuh saldo buatan yang tidak didukung oleh deposit nyata, kemudian menariknya melalui proses penarikan normal protokol. Total aset yang berhasil dikuras meliputi sekitar 909 ETH, 167,9 wrapped staked Ether (wstETH), 270.500 DAI, 9.270 LUSD, serta beberapa token yield-bearing lainnya.
Dana Curian dan Jejak Peretas
Firma keamanan Defimon Alerts mengonfirmasi nilai total kerugian mencapai $2,19 juta. Dana hasil curian kemudian dipindahkan melalui wallet yang baru dibuat dan kontrak pintar pendukung yang disiapkan hanya beberapa saat sebelum serangan terjadi. Hal ini menunjukkan bahwa serangan direncanakan secara matang, bukan aksi oportunistik semata.
Yang lebih mengkhawatirkan, BlockSec mengungkapkan bahwa kontrak RollupProcessorV3 sempat mendapat pembaruan pada April 2024 — namun pembaruan tersebut dilaporkan tidak melalui audit keamanan eksternal. Ini menjadi pelajaran pahit tentang pentingnya audit keamanan dalam setiap perubahan kode smart contract.
Respons Aztec dan Dampak Industri
Aztec Labs sendiri menyatakan sedang menyelidiki insiden ini, namun menegaskan bahwa mereka tidak memiliki kendali administratif atas protokol lama karena sifatnya yang immutable. Yayasan Aztec juga menegaskan bahwa eksploitasi ini tidak terkait dengan token AZTEC ERC-20 maupun jaringan Aztec versi terkini.
Insiden ini menjadi alarm bagi industri kripto tentang bahaya kontrak pintar usang yang masih menyimpan aset bernilai. Menurut data DeFiLlama, sepanjang Juni 2026 saja sudah terjadi setidaknya 12 serangan dengan total kerugian mencapai $44 juta. Ini termasuk peretasan Humanity Protocol senilai $30 juta dan eksploitasi Syscoin Bridge sebesar $8 juta yang terjadi dalam minggu yang sama.
Para ahli keamanan mengimbau pengguna untuk segera menarik dana dari protokol DeFi yang sudah tidak aktif atau tidak lagi didukung pengembangannya. Mereka juga menekankan pentingnya transparansi dan audit berkala sebagai standar minimum dalam pengembangan smart contract, terutama yang berkaitan dengan privasi dan sistem zero-knowledge yang semakin kompleks.
Artikel ini hanya untuk tujuan informasi dan edukasi. Konten yang disajikan tidak dimaksudkan sebagai nasihat keuangan, investasi, atau trading. Setiap keputusan investasi adalah tanggung jawab pribadi. Selalu lakukan riset mendalam (DYOR - Do Your Own Research) sebelum berinvestasi dalam aset kripto atau digital.
