Serangan lain bernilai jutaan dolar menyerang sektor DeFi setelah penyedia likuiditas dan market maker TrustedVolumes menjadi korban eksploitasi kontrak pintar pada Kamis malam.
Volume Terpercaya Dibobol dengan Kerugian $6,7 Juta
Pada hari Kamis, platform DeFi TrustedVolumes, salah satu penyedia likuiditas dan market maker 1inch, mengalami eksploitasi baru yang menguras jutaan dolar dalam berbagai aset dari proyek tersebut.
Menurut laporan dari perusahaan keamanan blockchain PeckShield dan Blockaid, penyerang mencuri sekitar $6 juta dalam Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT, dan USDT setelah mengeksploitasi kerentanan dalam logika validasi tanda tangan inti protokol, yang memungkinkan mereka melewati pemeriksaan otorisasi dan memalsukan perintah perdagangan.
Secara signifikan, peretas segera menukar semua aset menjadi 2.513 ETH di Decentralized Exchange (DEX) dan mendistribusikannya ke tiga alamat. Dalam postingan di X, TrustedVolumes memastikan insiden tersebut, membagikan alamat-alamat yang saat ini menyimpan dana yang dicuri, serta memperbarui perkiraan kerugian menjadi sekitar $6,7 juta.
Kerentanan tersebut adalah proxy pertukaran RFQ khusus yang dikendalikan TrustedVolumes. Peneliti kripto Humphrey menjelaskan bahwa “kontrak Custom RFQ Swap Proxy berisi fungsi yang dirancang untuk mengelola whitelist 'penandatangan pesanan yang diizinkan'. Mekanisme whitelist semacam ini umum di DeFi—hanya alamat yang berada di whitelist yang dapat mengeluarkan instruksi transaksi yang valid atas nama protokol.”
Namun, ia mencatat bahwa “fungsi pendaftaran ini bersifat publik dan tidak memiliki modifikasi izin apa pun.” Akibatnya, penyerang memanfaatkan fungsi publik ini dalam kontrak, mendaftarkan diri mereka sebagai penandatangan pesanan yang berwenang.
“Karena alamat eksternal mana pun dapat memanggil fungsi ini, itu setara dengan memberi semua orang kemampuan untuk membuat salinan kunci brankas,” lanjut peneliti tersebut.
Hacker Sama, Serangan Berbeda
Laporan online mengungkapkan bahwa pelaku adalah peretas yang sama bertanggung jawab atas eksploitasi kontrak penyelesaian 1inch Fusion V1 senilai $5 juta pada Maret 2025, di mana TrustedVolumes menjadi korban utama.
Humprey menyoroti bahwa meskipun individu yang sama melakukan kedua serangan tersebut, keduanya secara teknis sangat berbeda. Menurut postingan tersebut, kerentanan tahun 2025 melibatkan manipulasi memori EVM tingkat rendah pada kontrak Settlement 1inch Fusion V1.
Pada saat itu, peretas tersebut “secara proaktif memulai negosiasi on-chain,” menawarkan untuk mengembalikan aset yang dicuri sebagai bounty white hat. Platform DeFi menerima usulan tersebut, dan sebagian besar dana berhasil dikembalikan dengan aman.
Sekarang, TrustedVolumes menegaskan bahwa mereka "terbuka terhadap komunikasi konstruktif mengenai bug bounty dan solusi yang dapat diterima bersama."
Agregat bursa terdesentralisasi 1inch menjelaskan bahwa tidak ada dampak pada sistem, infrastruktur, atau dana pengguna, menjelaskan bahwa “TrustedVolumes beroperasi secara independen sebagai penyedia likuiditas, yang digunakan oleh berbagai protokol di seluruh industri, dan tidak eksklusif untuk 1inch.”
Eksploitasi DeFi Mengalami Lonjakan BersejarahSerangan ini mengikuti gelombang eksploitasi yang mengguncang sektor DeFi selama bulan lalu. Pekan lalu, PeckShield mengungkap bahwa ruang kripto mengalami 40 serangan besar pada April, yang menguras sekitar $647 juta.
Angka ini mewakili peningkatan 1.140% bulan-ke-bulan (MoM) dari $52,2 juta pada bulan Maret. Ini juga mewakili lonjakan 292% dari $165 miliar yang hilang oleh sektor DeFi selama kuartal pertama 2026.
Secara signifikan, dua insiden teratas bulan ini, eksploitasi Drift Protocol senilai $285 juta dan KelpDAO senilai $290 juta, menyumbang 91% dari dana yang hilang bulan lalu. Selain itu, keduanya kini masuk dalam daftar 10 peretasan terbesar sejak 2021.
