Keamanan

Bug Kritis Aptos Ancam $70 Miliar Aset, Cukup Server Rp48 Juta

Bug Kritis Aptos Ancam $70 Miliar Aset, Cukup Server Rp48 Juta

Key Takeaways

Peneliti keamanan Hexens temukan bug kritis di blockchain Aptos yang berpotensi membahayakan aset kripto senilai $70 miliar. Simulasi eksploitasi hanya butuh server Rp48 juta.

Sebuah kerentanan kritis pada blockchain Aptos yang baru terungkap menunjukkan betapa rapuhnya infrastruktur kripto global. Tim peneliti dari firma keamanan Hexens berhasil mendemonstrasikan jalur eksploitasi yang berpotensi membahayakan aset digital senilai 70 miliar dolar AS—dan mereka hanya membutuhkan server seharga 3.000 dolar AS atau sekitar Rp48 juta untuk membuktikannya. Insiden ini menjadi pengingat bahwa di balik narasi inovasi blockchain, risiko sistemik masih mengintai di lapisan paling fundamental dari teknologi ini.

Bagaimana Bug Ini Bekerja

Aptos adalah blockchain layer-1 yang dibangun menggunakan bahasa smart contract Move—teknologi yang berasal dari proyek Diem Facebook yang kini telah ditinggalkan. Move dirancang khusus untuk memberikan jaminan keamanan tipe atau type safety yang ketat, mencegah satu smart contract mengakses atau memodifikasi data milik kontrak lain secara sembarangan. Namun pada akhir Februari 2026, Vahe Karapetyan, CTO dan co-founder Hexens, menemukan celah yang justru menembus jaminan fundamental tersebut. Bug stale-cache ini menyebabkan kerentanan type-confusion, yaitu kondisi di mana perangkat lunak dapat ditipu untuk memperlakukan satu jenis sumber daya on-chain sebagai sumber daya lain. Dengan kata lain, seorang penyerang secara teori bisa mengambil alih hak istimewa protokol—termasuk kemampuan untuk mencetak atau mint stablecoin, mengendalikan jembatan lintas rantai, atau memanipulasi status akuntansi protokol DeFi.

Simulasi Serangan dengan Server Murah

Hexens melakukan simulasi serangan dalam lingkungan yang sangat mendekati kondisi mainnet Aptos. Mereka menggunakan kluster lebih dari 30 node validator, distribusi staking yang menyerupai jaringan nyata, lalu lintas transaksi organik, dan tingkat persaingan eksekusi yang tinggi. Hasilnya mengejutkan: tingkat keberhasilan eksploitasi mencapai hampir 90 persen. Dari sekitar 20 percobaan, 17 hingga 18 kali berhasil. Kegagalan beberapa percobaan pun tidak menghentikan jaringan, artinya penyerang bisa terus mencoba hingga berhasil. Biaya infrastruktur untuk menjalankan simulasi ini hanya sekitar 3.000 dolar AS, sebuah angka yang sangat kecil dibandingkan potensi kerusakan yang bisa ditimbulkan.

Mudit Gupta, CTO Polygon, secara independen mengulas material proof-of-concept Hexens dan mengonfirmasi validitas eksploitasi tersebut. Eksploitasi berjalan seperti yang diklaim, dan memang masuk akal, ujarnya kepada CoinDesk. Sementara itu, platform analitik Grego AI memperkirakan sekitar 250 juta dolar AS dalam total value locked atau TVL asli Aptos berisiko langsung berdasarkan tingkat keberhasilan 90 persen tersebut—terpisah dari eksposur lintas rantai yang lebih luas.

Risiko Sistemik Rp1,1 Kuadriliun

Angka 70 miliar dolar AS bukanlah estimasi kerugian langsung pada Aptos, melainkan penilaian risiko sistemik tingkat pertama yang lebih luas. Angka ini mencakup nilai yang dapat diakses melalui jembatan lintas rantai seperti LayerZero dan Wormhole, sistem pesan antar-chain, jalur administrasi stablecoin USDC melalui Cross-Chain Transfer Protocol atau CCTP milik Circle, serta exchange terpusat. Hexens menyatakan bahwa eksploitasi ini bisa digunakan untuk mencuri kapabilitas protokol, termasuk yang dipegang oleh infrastruktur kritis seperti LayerZero, Wormhole, dan USDC CCTP. Justus Hanna, CEO Grego AI, menegaskan bahwa jika aktor jahat memiliki akses ke bug ini, mereka akan bisa mengambil semua TVL yang mereka inginkan.

Sebagai perbandingan, peretasan Bybit tahun 2025 yang mencuri 1,5 miliar dolar AS akan terlihat kecil dibandingkan potensi kerusakan dari eksploitasi ini. Bug kritis pada Zcash yang baru terungkap Juni lalu—yang menyebabkan ZEC anjlok 38 persen—juga menunjukkan bahwa kerentanan di tingkat protokol adalah ancaman paling serius dalam ekosistem kripto. Namun perlu dicatat bahwa angka 70 miliar dolar AS adalah estimasi berbasis skenario terburuk, yang mengasumsikan penyerang bisa mencetak USDC dalam jumlah masif dan memindahkannya lintas rantai. Dalam praktiknya, Circle kemungkinan akan menghentikan transfer USDC jika pendeteksian berjalan, meskipun kontroversi baru-baru ini menunjukkan Circle enggan membekukan aset tanpa perintah hukum.

Respons Cepat dan Nasib yang Hampir Terjadi

Hexens melaporkan kerentanan ini melalui saluran darurat SEAL911 pada 25 Februari 2026, hari yang sama ketika mereka membuka warroom darurat untuk mengoordinasikan respons. SEAL911 adalah kelompok keamanan sukarelawan yang telah menjadi lapisan respons pertama yang kritis di ekosistem kripto. Tim Aptos merespons dengan cepat. Seorang juru bicara Aptos menyatakan kepada CoinDesk bahwa patch telah dikembangkan, diuji, dan diterapkan ke mainnet dalam hitungan jam setelah penemuan. Tidak ada pengguna atau dana yang terdampak kapan pun, tegasnya. Meski demikian, Aptos membantah tingkat eksploitabilitas bug tersebut, menyebutnya sangat rendah dalam kondisi dunia nyata. Hexens sendiri mengklaim belum menerima sanggahan teknis berbasis bukti yang membantah kelas dampak yang mereka demonstrasikan. Yang patut dicatat, patch untuk validator privat sudah diterapkan sebelum commit publik tersedia, menunjukkan bahwa tim Aptos bergerak cepat begitu memahami keseriusan situasi.

Insiden Aptos ini adalah pengingat keras bahwa keamanan blockchain bukanlah fitur yang bisa dianggap selesai. Di balik klaim desain yang tidak bisa diretas, kerentanan fundamental masih bisa bersembunyi selama bertahun-tahun, dan infrastruktur senilai puluhan miliar dolar bisa bergantung pada temuan tepat waktu dari peneliti keamanan yang bermodal server seharga 3.000 dolar AS. Seperti yang ditunjukkan oleh kasus Zcash, Bybit, dan kini Aptos, batas antara bug yang terkandung dan eksploitasi yang mengguncang pasar sering kali hanya ditentukan oleh seberapa cepat patch diterapkan—dan seberapa cepat seseorang menemukannya terlebih dahulu.

Sumber: CoinDesk - How Ethical Hackers With Just a $3,000 Server Found a Flaw That Could've Put $70 Billion in Crypto at Risk oleh Oliver Knight, 4 Juli 2026.

Disclaimer

Artikel ini hanya untuk tujuan informasi dan edukasi. Konten yang disajikan tidak dimaksudkan sebagai nasihat keuangan, investasi, atau trading. Setiap keputusan investasi adalah tanggung jawab pribadi. Selalu lakukan riset mendalam (DYOR - Do Your Own Research) sebelum berinvestasi dalam aset kripto atau digital.

Komentar (0)

Silakan login untuk bergabung dalam diskusi.

Login untuk Komentar