Di balik kemudahan yang ditawarkan keuangan lintas rantai (cross-chain finance), tersembunyi kerentanan keamanan bak bom waktu yang siap meledak kapan saja, berulang kali memicu insiden serupa dan memaksa seluruh industri untuk melakukan refleksi diri.
Pada 2 Februari 2026 (UTC), CrossCurve—protokol likuiditas lintas rantai yang sebelumnya dikenal sebagai EYWA dan didukung oleh pendiri Curve Finance, Michael Egorov—secara resmi mengonfirmasi bahwa jembatan lintas rantainya sedang diserang akibat kerentanan pada smart contract. Penyerang memalsukan pesan lintas rantai, melewati validasi gateway yang krusial, dan memicu pembukaan token tanpa otorisasi, sehingga sekitar $3 juta berhasil dicuri di beberapa blockchain.
Gambaran Insiden: Mengapa Arsitektur Validasi Multi-Layer Gagal?
Sekitar 31 Januari 2026, perusahaan keamanan blockchain Defimon Alerts mendeteksi penurunan drastis saldo kontrak inti CrossCurve, PortalV2—dari sekitar $3 juta menjadi hampir nol. CrossCurve segera merilis pengumuman darurat di X: "Jaringan bridge kami saat ini sedang diserang. Penyerang mengeksploitasi kerentanan pada salah satu smart contract kami. Mohon hentikan seluruh interaksi dengan CrossCurve selama investigasi berlangsung."
Ironisnya, CrossCurve selama ini menjadikan arsitektur keamanan validasi multi-layer "Consensus Bridge" sebagai keunggulan utama. Arsitektur ini mengintegrasikan Axelar, LayerZero, dan jaringan oracle internal EYWA, dengan tujuan menghilangkan titik kegagalan tunggal melalui sumber validasi independen yang beragam. Proyek ini sebelumnya pernah mengklaim, "Probabilitas beberapa protokol lintas rantai diretas secara bersamaan hampir nol."
Analisis Kerentanan: Celah Validasi yang Fatal
Analisis keamanan mengungkap esensi teknis serangan ini. Akar kerentanan terletak pada satu validasi yang tampak sederhana namun terlewatkan—cukup untuk meruntuhkan seluruh sistem verifikasi multi-layer yang kompleks.
Vektor Serangan
Inti serangan terjadi pada kontrak ReceiverAxelar milik CrossCurve. Kontrak ini bertugas menerima pesan dari jaringan lintas rantai Axelar dan menjalankan instruksi terkait.
Dalam kondisi normal, setiap pesan lintas rantai yang akan dieksekusi harus melewati validasi konsensus jaringan Axelar. Namun, terdapat cacat kritis pada salah satu fungsi kontrak tersebut. Penyerang menemukan bahwa mereka bisa langsung memanggil fungsi ini, memasukkan parameter pesan lintas rantai palsu, dan kontrak tidak memverifikasi asal pesan tersebut dengan memadai.
Proses Serangan
Setelah instruksi palsu diterima, kontrak mengirimkan perintah pembukaan token ke kontrak inti penyimpanan aset, PortalV2.
Karena kontrak PortalV2 sepenuhnya mempercayai instruksi dari ReceiverAxelar, maka seluruh jenis aset yang terkunci dapat dilepaskan ke alamat yang ditentukan penyerang. Proses ini dapat diulangi hingga seluruh aset utama dalam kontrak terkuras habis.
Sejarah Berulang: Empat Tahun Luka Keamanan yang Belum Sembuh
Insiden ini memicu rasa déjà vu yang kuat di komunitas keamanan kripto. Pakar keamanan Taylor Monahan mengungkapkan keterkejutannya: "Saya benar-benar tidak percaya sudah empat tahun berlalu dan tidak ada yang berubah." Pernyataan ini merujuk pada serangan jembatan lintas rantai Nomad pada Agustus 2022 yang mengguncang industri. Saat itu, Nomad kehilangan sekitar $190 juta akibat cacat validasi inisialisasi yang serupa. Lebih mengejutkan lagi, metode eksploitasi sangat sederhana sehingga, setelah insiden berlangsung, berubah menjadi "ajang perebutan dana," dengan lebih dari 300 alamat meniru cara serangan untuk mencuri dana.
Dari Nomad hingga CrossCurve, metode serangan pada dasarnya serupa: sama-sama berakar pada validasi yang tidak memadai terhadap elemen keamanan paling mendasar—asal pesan lintas rantai. Berulangnya insiden semacam ini menunjukkan secara tajam bahwa, meski industri berkembang pesat, praktik pengembangan keamanan smart contract dan standar audit mendasar masih sering diabaikan.
Efek Riak di Pasar: Krisis Kepercayaan dan Volatilitas Harga
Pelanggaran keamanan ini dengan cepat memicu reaksi berantai di pasar. CrossCurve, protokol yang menjadi korban, memiliki keterkaitan erat dengan protokol DeFi papan atas, Curve Finance; investasi dari pendiri Curve menjadi penopang kredibilitas utama bagi CrossCurve.
Setelah insiden, Curve Finance segera merilis pernyataan di X, mengimbau pengguna untuk "meninjau ulang posisi Anda dan mempertimbangkan untuk mencabut suara tersebut," serta menekankan kehati-hatian saat berinteraksi dengan "proyek pihak ketiga." Pernyataan yang disusun dengan hati-hati ini secara luas diartikan sebagai upaya cepat untuk menjaga jarak dan melindungi reputasi dari dampak negatif insiden.
Respons Pasar Utama
Berdasarkan data pasar Gate, per 2 Februari 2026, harga Bitcoin (BTC) tercatat turun -2,51% dalam 24 jam terakhir, diperdagangkan di $76.814.
Pada periode yang sama, harga Ethereum (ETH) anjlok -7,42% menjadi $2.271,18. Meski volatilitas pasar dipengaruhi banyak faktor, pelanggaran keamanan besar pada protokol DeFi inti jelas meningkatkan sentimen penghindaran risiko di seluruh pasar.
Refleksi Industri: Paradoks Keamanan Jembatan Lintas Rantai
Insiden CrossCurve kembali menegaskan konsensus industri—"jembatan lintas rantai adalah mata rantai terlemah di kripto." Kasus-kasus sebelumnya seperti Ronin (kerugian $625 juta), Wormhole ($325 juta), dan kini CrossCurve, semakin memperkuat pandangan ini.
Paradoks keamanan jembatan lintas rantai terletak pada kebutuhan untuk memfasilitasi perpindahan aset bebas antar blockchain berbeda, yang mengharuskan adanya pusat kepercayaan dan validasi di berbagai rantai independen dengan model keamanan beragam. Jika pusat ini (smart contract) mengandung cacat logika, ia menjadi titik kegagalan tunggal bagi seluruh pool likuiditas. Bahkan dengan validasi eksternal multi-layer seperti rancangan CrossCurve, kelemahan implementasi pada kontrak inti dapat membuat seluruh perlindungan eksternal menjadi sia-sia.
Perkembangan Terbaru dan Respons Pengguna
Menghadapi arus keluar dana yang terus berlangsung dan tekanan publik yang meningkat, tim CrossCurve segera mengambil langkah penanganan krisis setelah insiden terbuka ke publik. Berdasarkan pernyataan resmi terbaru, tim menetapkan tenggat waktu 72 jam untuk pengembalian dana yang dicuri. Mereka mengimbau pemilik alamat terdampak untuk bekerja sama dalam mengembalikan aset yang disalahgunakan dan, melalui "Kebijakan Pengungkapan Safe Harbor," menawarkan hingga 10% dari dana sebagai hadiah bagi white-hat hacker.
Jika tidak tercapai kesepakatan dalam waktu yang ditentukan, tim menyatakan akan meningkatkan respons, termasuk mengambil jalur hukum dan bekerja sama dengan bursa, penerbit stablecoin, dan pihak terkait lainnya untuk melacak serta membekukan aset yang terlibat.
Harga Bitcoin turun 2,51% dalam 24 jam setelah insiden, sementara Ethereum turun lebih dalam lagi, sebesar 7,42%. Pasar merespons runtuhnya kepercayaan yang dipicu cacat kode ini dengan angka-angka yang tegas.
Hitungan mundur 72 jam "safe harbor" yang ditetapkan tim CrossCurve terus berjalan. Catatan blockchain explorer menunjukkan dana hasil curian masih diam di alamat penyerang, tanpa ada transfer besar yang terjadi. Apakah badai yang dipicu oleh satu baris kode validasi yang terlewat ini akan berakhir dengan penyelesaian white-hat, atau justru berkembang menjadi sengketa pemulihan aset lintas negara yang berlarut-larut, masih menjadi tanda tanya.
