Kontrak Router Aztec Network menjadi berita setelah menjadi subjek transaksi mencurigakan yang ditemukan di blockchain Ethereum [ETH]. Hal ini menyebabkan kehilangan aset senilai sekitar $2,19 juta.
Faktanya, alamat dompet “0x0f18….edd17” menggunakan dana dari kontrak Router protokol untuk melakukan transaksi.
Menurut CertiK, serangan itu "mencurigakan" karena pelaku mungkin memanfaatkan kelemahan dalam kontrak pintar, memperoleh akses tidak sah ke dana protokol, atau mengubah logika kontrak untuk menarik aset.
Kemungkinan kelemahan validasi kontrak pintar
Namun, beberapa petunjuk menunjukkan bahwa penanganan protokol terhadap data bukti cacat dalam proses validasi kontrak pintar. Masalahnya secara khusus tampaknya terletak pada fungsi computeRootHashes(), yang mengawasi konfirmasi keabsahan _proofData yang diberikan tetapi hanya memeriksa bagian pertamanya.
Namun, bagian tengah dari payload _proofData yang sama berisi data yang kemudian digunakan oleh processDepositsAndWithdrawals() untuk melakukan transfer token.
Oleh karena itu, penyerang mungkin telah membuat bukti jahat di mana bagian tengah yang tidak diverifikasi berisi instruksi setoran atau penarikan yang dimanipulasi, sementara bagian yang diverifikasi tetap valid dan lulus pemeriksaan keamanan protokol.
Sebagai bagian darinya, kontrak tersebut akhirnya melakukan transfer token yang tidak sah sebagai akibat dari instruksi-instruksi tersebut tidak diverifikasi dengan benar sebelum diproses. Dengan kata sederhana, tampak ada perbedaan antara apa yang diverifikasi dan apa yang sebenarnya dieksekusi.
Lebih banyak insiden semacam ini
Waktu di sini menarik karena Raydium juga menemukan kesalahan pemrograman di program AMM V3 lamanya yang menyebabkan cryptocurrency senilai $1,34 juta dicuri dari lima kolam.
Sementara itu, serangan pengambilalihan tata kelola lainnya melihat pelaku mencuri sekitar $1,5 juta dalam Ethereum dari kolam likuiditas Balancer.
Eksploitasi baru yang menargetkan Alephium TokenBridge Ethereum juga ditemukan недавно. Dalam eksploitasi ini, $815.000 dicuri dalam tujuh menit menggunakan tiga dari empat kunci penjaga yang telah dikompromikan yang menandatangani VAAs palsu (Verified Action Approvals).
Demikian pula, menurut penyelidikan independen Quantstamp, Humanity Protocol mengaitkan serangan phishing yang ditargetkan terhadap salah satu direkturannya dengan perolehan kredensial administratif oleh penyerang, peningkatan kontrak, transfer token ethereum, dan penciptaan token H baru di BNB Chain.
Secara keseluruhan, Total Nilai yang Dicuri (USD) kini mencapai $81,73 juta dalam 30 hari, menurut data DeFiLlama. Dengan $634,85 juta hilang hanya pada tahun 2026, April telah melihat nilai terbesar yang disedot sejauh ini.
Ringkasan Akhir
- Kerentanan tampaknya disebabkan oleh verifikasi proofData yang tidak lengkap.
- Episod ini adalah yang paling terbaru dalam rangkaian kegagalan keamanan DeFi.