Sebuah server seharga 3000 dolar, nyaris menggoyang aset on-chain senilai 70 miliar

Baru saja saya membaca laporan dari CoinDesk, dan bulu kuduk saya agak merinding.
Peneliti dari perusahaan keamanan Hexens, menggunakan server biasa dengan konfigurasi 3000 dolar, menemukan celah fatal di blockchain Aptos. Tingkat keberhasilan serangannya mencapai hampir 90%, dan dapat meniru sekitar 1/3 jaringan validator. Secara teori, celah ini berpotensi mengancam aset on-chain hingga 7 miliar dolar.

Celah tersebut berasal dari bug cache lama di Move virtual machine, yang dapat memicu type confusion sehingga kode penyerang dapat langsung menulis ke area penyimpanan kontrak lain. Artinya apa? Stablecoin, jembatan lintas-chain, protokol DeFi—begitu salah satunya berhasil dibobol, bisa memicu keruntuhan berantai. Bahkan bahasa seperti Move yang terkenal dengan keamanan berbasis tipe, tetap bisa dilewati pada level implementasi VM.

Untungnya, kali ini adalah aksi white-hat. Pada 25 Februari, celah dilaporkan melalui program bounty, dan patch tersebut dideploy ke mainnet dalam hitungan jam tanpa menimbulkan kerugian nyata. Pihak resmi Aptos mengakui adanya celah, namun bersikap hati-hati terhadap angka 70 miliar dolar aset yang terdampak. CTO Polygon, Mudit Gupta, memverifikasi secara independen validitas PoC, yang ikut menguatkan betapa seriusnya celah tersebut.

Kejadian ini memberi pengingat bagi pengguna biasa:
1. Bahkan untuk L1 generasi baru yang terkenal dengan keamanan, keamanan inti sangat bergantung pada detail implementasi, bukan hanya desain bahasanya.
2. Mendiversifikasi aset ke berbagai chain dan protokol adalah cara paling bodoh sekaligus paling efektif untuk menurunkan risiko sistemik.
3. Perhatikan apakah pihak proyek memiliki program bounty bug yang aktif, serta seberapa cepat responsnya—perbaikan Aptos dalam hitungan jam kali ini merupakan sinyal positif tata kelola keamanan yang sudah matang.

Sumber informasi publik saat ini terutama berasal dari CoinDesk; pengumuman resmi dari Hexens dan Aptos belum keluar, sehingga kelengkapan informasi masih perlu diverifikasi. Namun apa pun angka akhirnya—70 miliar atau dikurangi—jalur serangan berbiaya rendah dengan ancaman tinggi seperti ini layak diwaspadai oleh seluruh ekosistem Move.

Disclaimer: Hanya untuk pengumpulan informasi dan rekonstruksi logika, tidak merupakan nasihat investasi apa pun. Pasar memiliki risiko, silakan lakukan riset sendiri.

$BTC $ETH $BNB #链上安全