KreAsik – 10 Juni 2026 | Penjahat telah berhasil mencuri setidaknya $36,7 juta dari protokol yang berjalan dengan kontrak pintar yang tidak diverifikasi dalam enam bulan terakhir, menurut laporan Chainalysis. Laporan ini menghubungkan lonjakan kegiatan penjahat ke pengembangan eksploitasi dengan bantuan AI.
Penggunaan Large Language Models (LLM) dapat menganalisis bytecode yang telah didekompilasi dengan kecepatan dan skala yang tidak dapat dicapai oleh tim manusia. Akibatnya, kontrak pintar tertutup yang sebelumnya dapat menghalangi penjahat sekarang telah menjadi target yang sistematis.
Keberadaan kode rahasia tidak lagi melindungi protokol DeFi. Banyak protokol DeFi besar mempublikasikan dan memverifikasi kode sumber mereka di eksplorer blok. Namun, beberapa tetap menyimpan kode mereka tertutup, berharap bahwa ketidakjelasan akan melindungi mereka dari penjahat.
Baca Juga:
Chainalysis menemukan bahwa teka-teki telah gagal. Dekompilator seperti Dedaub, Heimdall, dan Panoramix sekarang dapat mengubah bytecode mentah menjadi kode Solidity yang dapat dibaca.
Kode yang telah didekompilasi kemudian dimasukkan ke dalam LLM yang mengidentifikasi bug reentrancy, keterbatasan akses, dan kesalahan aritmatika.
Setelah itu, model-model ini dapat diintegrasikan ke dalam pipa otomatis yang dapat memindai ribuan kontrak yang tidak diverifikasi. Mereka lalu memilah-milah target berdasarkan estimasi eksploitabilitas dan potensi keuntungan.
“Apa yang sebelumnya memerlukan seorang insinyur balik yang terlatih menghabiskan hari-harinya pada satu kontrak saja sekarang dapat diotomatisasi sebagian besar di seluruh inventori kontrak tidak diverifikasi dari jaringan blok,” kata Chainalysis.
Penjahat yang mengoperasikan pipa-pipa ini mendapatkan keuntungan struktural: mereka dapat menutupi lebih banyak area daripada pembela yang memantau aktivitas yang mencurigakan,” kata Chainalysis.
Selain itu, kontrak tidak diverifikasi juga menghindari lapisan keamanan tidak resmi yang melindungi kode terbuka. Peneliti berhati baik tidak dapat membaca mereka, dan beberapa protokol yang direnggut mengecualikan kontrak-kontrak ini dari program bonus bug.
Empat Insiden Kontrak Seluruhnya Total $36,7 Juta. Sumber: Chainalysis.
Peneliti berhati baik juga menemukan bahwa AI dapat melakukan langkah-langkah eksploitasi maju untuk penjahat yang tidak terampil, sehingga meningkatkan ancaman secara keseluruhan.
Contoh yang paling menonjol adalah insiden yang terjadi pada 8 Januari, ketika penjahat menggondol $26,2 juta dari Truebit. Kontrak yang lemah telah ditinggalkan tidak diverifikasi di Ethereum (ETH) sejak tahun 2021.
Penjahat menggondol uang itu dengan cara membuat integer overflow di bonding curve kontrak. Penjahat kemudian dapat mencetak token hampir tanpa biaya, lalu membakar mereka untuk ETH nyata.
Penjahat tersebut juga mengambil 5 ETH dari Sparkle protocol hanya dua belas hari sebelumnya.
“Hal ini bukanlah temuan yang bersifat opportunis; penjahat ini secara sistematis mencari kelemahan di antara kontrak yang diverifikasi dan tidak diverifikasi, meningkat dari target kecil ke gaji $26 juta, dan hasil dari kedua eksploitasi tersebut dicuci melalui Tornado Cash,” kata laporan.
Peneliti Anthropic juga menemukan bahwa agen-agen AI dapat mengeksploitasi kontrak pintar secara otomatis untuk jutaan dolar. Termasuk kontrak yang diimplementasikan setelah pengetahuan batas waktu model.
Para ahli keamanan telah menegaskan bahwa agen-agen AI lebih cepat dari auditor manusia di seluruh DeFi.
Chainalysis memprediksi tren ini akan terus berkembang karena peningkatan alat dekomiplasi dan bertambahnya jumlah kontrak tidak diverifikasi.
Chainalysis menyarankan protokol untuk memverifikasi semua kode yang diimplementasikan, memperluas ruang bonus bug, dan menerapkan pemantauan waktu nyata di blok.
Subskripsikan ke saluran YouTube kami untuk menonton pemimpin dan jurnalis memberikan pengetahuan ahli.
