Perusahaan analitik blockchain Chainalysis merilis laporan pada 9 Juni, mencatat bahwa pada periode Januari hingga Mei, setidaknya 36,70 juta dolar AS dicuri dari protokol yang tidak pernah memverifikasi kode sumber asli secara publik di penjelajah blok, yang melibatkan 4 serangan dan 5 protokol; dalam semua kasus, penyerang menemukan celah dengan melakukan dekompilasi bytecode asli (bukan membaca kode sumber publik).
Empat kasus serangan: jumlah kerugian, tanggal, dan jenis celah yang telah terkonfirmasi
Berdasarkan laporan Chainalysis, data konfirmasi untuk lima protokol yang diserang adalah sebagai berikut:
Truebit: 26,20 juta dolar AS, 8 Januari 2026, di Ethereum; overflow bilangan bulat pada fungsi getPurchasePrice() (Solidity v0.5.3, versi ini tidak memiliki perlindungan otomatis terhadap overflow)
Trusted Volumes: 5,90 juta dolar AS, 7 Mei 2026, di Ethereum; celah kontrol akses pada program perantara pertukaran RFQ
Aperture Finance: 3,20 juta dolar AS, 25 Januari 2026, di Ethereum; melewati validasi input melalui transferFrom
(Sumber: Chainalysis)
Ekubo: 1,40 juta dolar AS, 5 Mei 2026, di Ethereum; logika rollback tidak memverifikasi identitas pembayar
Chainalysis mengonfirmasi bahwa seluruh kontrak terkait dari protokol di atas tidak memverifikasi kode sumber di Etherscan atau penjelajah blok lainnya pada saat serangan terjadi, serta tidak ada kode sumber publik yang memiliki keterkaitan yang dapat diverifikasi.
Detail kasus Truebit: kontrak yang dideploy pada 2021, tindakan serangan yang bersifat sistematis terlihat dari catatan on-chain
Analisis bagan Reactor dari Chainalysis menunjukkan bahwa alamat penyerang yang melakukan serangan Truebit (8 Januari 2026, kerugian 26,20 juta dolar AS) pernah mencuri 5 ETH dari protokol Sparkle pada dua belas hari sebelumnya.
Laporan mengonfirmasi bahwa alamat tersebut secara sistematis mencari celah pada kontrak yang telah diverifikasi maupun yang belum diverifikasi, berkembang bertahap dari target kecil awal hingga akhirnya menjadi serangan skala besar; dana hasil dua serangan juga dicuci melalui Tornado Cash. Kontrak yang diserang oleh Truebit dideploy di Ethereum sejak 2021, dan tidak pernah memverifikasi kode sumber di Etherscan.
Tiga celah keamanan pada kontrak yang tidak terverifikasi: mekanisme pertahanan yang gagal yang dikonfirmasi Chainalysis
Laporan Chainalysis mengonfirmasi bahwa ketika protokol memilih deploy dengan sistem tertutup, berikut tiga lapisan keamanan tradisional kehilangan fungsinya secara bersamaan:
Kegagalan ulasan white-hat: tanpa kode sumber yang dapat dibaca publik, peneliti keamanan tidak dapat mengidentifikasi dan melaporkan celah
Pengecualian program bug bounty: kontrak yang tidak terverifikasi biasanya secara jelas dikecualikan dari program bug bounty arus utama
Kegagalan pelaporan yang digerakkan komunitas: tanpa lingkungan tinjauan terbuka yang menyertakan kode sumber, komunitas tidak dapat secara proaktif mengidentifikasi masalah keamanan
Laporan Chainalysis mengonfirmasi bahwa untuk protokol yang mendeploy kontrak yang tidak terverifikasi, pemantauan on-chain secara real-time saat ini merupakan satu-satunya langkah perlindungan yang dapat menggantikan mekanisme kegagalan di atas.
FAQ
Apa perbedaan keamanan inti antara smart contract yang tidak terverifikasi dan yang terverifikasi?
Kode sumber kontrak terverifikasi dapat dibaca publik di penjelajah blok seperti Etherscan, sehingga peneliti keamanan dapat mengidentifikasi celah secara langsung dan mengirimkan laporan. Kontrak yang tidak terverifikasi hanya mempublikasikan bytecode hasil kompilasi; peneliti keamanan dan penyerang sama-sama perlu melakukan rekayasa balik melalui alat dekompilasi, dan kontrak yang tidak terverifikasi umumnya dikecualikan dari program bug bounty arus utama.
Bagaimana 36,70 juta dolar AS yang dicatat Chainalysis dibandingkan dengan kasus pencurian DeFi secara keseluruhan?
Berdasarkan laporan Chainalysis, 36,70 juta dolar AS merupakan satu kategori anak independen dari total 1 miliar dolar AS kerugian pada 88 protokol DeFi yang tercatat oleh DeFiLlama pada periode yang sama. Sebagian besar protokol yang diserang yang tercatat oleh DeFiLlama memiliki smart contract terverifikasi, sehingga serangan terhadap kontrak yang tidak terverifikasi membentuk pola serangan yang unik dan tidak seharusnya dibandingkan langsung dengan statistik keamanan DeFi yang lebih luas.
Apa rekomendasi keamanan spesifik dari Chainalysis untuk protokol kontrak yang tidak terverifikasi?
Satu-satunya rekomendasi konkret yang dikonfirmasi oleh laporan Chainalysis adalah penerapan pemantauan on-chain secara real-time untuk menggantikan fungsi yang gagal dari ekosistem keamanan tradisional pada kontrak yang tidak terverifikasi. Laporan tidak memberikan rekomendasi alat pemantauan spesifik, standar implementasi, atau saran jadwal.
