Peretas kripto menguras sekitar $36,7 juta dari empat protokol DeFi selama enam bulan terakhir — dan setiap kontrak yang dieksploitasi memiliki kode sumber yang tidak pernah diverifikasi secara publik di penjelajah blockchain. Insiden terbesar, serangan senilai $26 juta pada Truebit berbasis Ethereum pada bulan Januari, mengeksploitasi integer overflow dalam kode yang ditulis dalam versi Solidity tahun 2018. Kini Chainalysis memperingatkan bahwa vektor serangan ini semakin berbahaya seiring alat AI murah memudahkan pencuri untuk merobek bytecode yang tidak terverifikasi.
Eksploitasi Truebit $26 Juta
Kontrak Truebit telah berada di Ethereum sejak tahun 2021 — tidak terverifikasi dan tidak ditinjau. Penyerang memecahkannya dengan menemukan celah integer overflow pada bonding curve. Kode tersebut ditulis dalam Solidity v0.5.3, yang tidak memiliki perlindungan overflow otomatis. Versi itu sudah berusia bertahun-tahun, tetapi kontrak tidak pernah diperbarui atau diaudit. Program bug bounty sering mengecualikan kontrak yang tidak terverifikasi, sehingga kerentanan itu tidak tersentuh selama bertahun-tahun.
Kode Solidity Lama yang Tidak Terperiksa
Keempat kontrak yang dikompromikan — Truebit, Trusted Volumes, Aperture Finance, dan Ekubo — memiliki satu kesamaan: tidak ada yang pernah memverifikasi kode sumber mereka di Etherscan atau alat serupa. Tanpa verifikasi, logika aktual yang berjalan di on-chain menjadi tidak jelas. Penyerang tidak memerlukan sumber; mereka dapat mengambil bytecode yang digunakan dan mendekom pilasinya menggunakan alat seperti Dedaub, Heimdall, atau Panoramix. Kemudian mereka menerapkan sistem AI untuk memburu reentrancy, kesalahan aritmatika, dan celah kontrol akses. Itulah yang terjadi di keempat insiden, yang juga melibatkan kesalahan validasi input dan kegagalan verifikasi identitas.
Penyerang Beralih ke AI dan Analisis Bytecode
Angka $36,7 juta relatif kecil dibandingkan lanskap pencurian DeFi yang lebih luas — Chainalysis memperkirakan total kerugian di atas $1 miliar selama periode yang sama. Namun metodenya yang membuat perusahaan khawatir. Alat analisis otomatis semakin murah dan mudah diakses oleh penyerang. Chainalysis memperingatkan bahwa risiko kontrak tidak terverifikasi dapat meningkat seiring lebih banyak peretas belajar beralih dari audit kode sumber ke pemindaian bytecode yang dibantu AI.
Chainalysis: Verifikasi Harus Menjadi Dasar
Perusahaan merekomendasikan agar verifikasi kode sumber menjadi persyaratan dasar untuk setiap kontrak yang menyimpan aset pengguna. Audit dan bug bounty juga harus mencakup kontrak implementasi di balik struktur proxy, bukan hanya proxy itu sendiri. Tanpa itu, kontrak seperti Truebit dapat tetap terbuka selama bertahun-tahun. Pertanyaan yang menggantung di industri sekarang: berapa banyak lagi kontrak tidak terverifikasi yang ada di luar sana, menyimpan uang pengguna, menunggu untuk didekompilasi?
