Menurut laporan baru Chainalysis yang dibagikan minggu ini, para peretas telah menyedot setidaknya $36,7 juta dari protokol yang menjalankan kontrak pintar tak terverifikasi selama enam bulan terakhir. Perusahaan tersebut mengaitkan lonjakan ini langsung dengan pengembangan eksploitasi berbantuan AI — khususnya, model bahasa besar (LLM) yang menganalisis bytecode yang didekompilasi secara otomatis. Temuan ini memberikan gambaran suram bagi tim DeFi yang melewatkan verifikasi kontrak: mereka tidak hanya kehilangan transparansi, tetapi juga membuka pintu bagi serangan otomatis yang digerakkan oleh AI.
Cara kerja serangan
Chainalysis menguraikan alur kerja yang dimulai dengan dekompiler seperti Dedaub, Heimdall, dan Panoramix — alat yang mengubah bytecode mentah kembali menjadi Solidity yang dapat dibaca. Kode yang dapat dibaca tersebut kemudian dimasukkan ke dalam LLM, yang menandai kerentanan reentrancy, celah kontrol akses, dan kesalahan aritmetika. Proses ini diotomatisasi, sehingga penyerang dapat memindai ribuan kontrak tak terverifikasi, mengurutkannya berdasarkan perkiraan tingkat eksploitabilitas dan potensi hasil, lalu menyerang. Kontrak yang tidak diverifikasi juga luput dari pengawasan peneliti white-hat dan sering kali dikecualikan dari program bug bounty — menjadikannya sasaran empuk dengan risiko rendah.
Kasus Truebit
Insiden tunggal terbesar adalah peretasan Truebit pada 8 Januari, yang menguras $26,2 juta akibat integer overflow pada kurva bonding-nya. Kontrak tersebut telah digunakan di Ethereum tetapi tidak pernah diverifikasi — sudah tidak diverifikasi sejak 2021. Alamat yang sama yang mengeksploitasi Truebit sebelumnya telah menyerang target yang lebih kecil dua belas hari lebih awal, menguras protokol Sparkle sebesar 5 ETH. Hasil dari kedua eksploitasi tersebut dicuci melalui Tornado Cash. Chainalysis tidak menyebutkan nama penyerang, tetapi polanya menunjukkan satu operator atau kelompok yang menguji alat pada protokol bernilai lebih rendah sebelum menargetkan yang besar.
Temuan Anthropic
Penelitian Anthropic sendiri, yang dikutip dalam laporan tersebut, menemukan bahwa AI dapat melakukan langkah-langkah serangan tingkat lanjut bahkan untuk peretas dengan keterampilan rendah, sehingga meningkatkan tingkat ancaman secara keseluruhan. Dalam demonstrasi terpisah, Anthropic menunjukkan agen AI secara otonom mengeksploitasi kontrak pintar senilai jutaan dolar — termasuk kontrak yang digunakan setelah batas pengetahuan model. Para pakar keamanan telah memperingatkan bahwa agen AI kini melampaui auditor manusia di seluruh DeFi, dan Chainalysis memperkirakan tren ini akan semakin cepat seiring dengan peningkatan alat dekompilasi.
Apa yang harus dilakukan protokol
Chainalysis mendesak setiap protokol untuk memverifikasi semua kode yang digunakan — ini adalah lini pertahanan pertama dan termurah. Mereka juga merekomendasikan untuk memperluas cakupan bug bounty agar mencakup kontrak yang tidak diverifikasi dan mengadopsi pemantauan on-chain secara real-time. Waktu terus berjalan: alat dekompilasi dan LLM yang sama yang digunakan peneliti untuk kebaikan dapat digunakan kembali oleh penyerang. Pertanyaannya sekarang adalah berapa banyak lagi kontrak tak terverifikasi yang ada di luar sana, menunggu untuk dipindai.
