Seorang penyerang DeFi berhasil melakukan apa yang terlihat seperti salah satu pencurian terbesar tahun ini, lalu menyaksikan hasilnya menyusut menjadi uang receh. Pada hari Selasa, Echo Protocol mengonfirmasi bahwa seorang hacker telah menggunakan kunci administratif yang terkompromi untuk mencetak sekitar 1.000 token eBTC yang tidak sah di blockchain Monad, sebuah stash dengan nilai kertas sekitar $77 juta. Selama beberapa jam, angka itu bergema di crypto Twitter sebagai eksploitasi mega berikutnya di tahun 2026, setelah tahun yang sudah melihat lebih dari satu miliar dolar menghilang dari protokol DeFi. Kemudian, kenyataan di on-chain mulai terlihat. Pasar eBTC di Monad tidak memiliki cukup likuiditas untuk siapa pun membuang sebanyak itu Bitcoin palsu tanpa menghancurkan harga ke tanah. Ketika penyerang selesai dengan apa yang sebenarnya bisa mereka tarik, hasil yang direalisasikan sekitar $816.000 dalam ETH, yang disetorkan ke Tornado Cash untuk mengaburkan jejak. Echo mendapatkan kembali kendali atas kunci admin, membakar sisa 955 eBTC yang ada di dompet penyerang, dan menghentikan jembatan Aptosnya sebagai langkah pencegahan sementara mereka menyelidiki apa yang salah.

Bagaimana Kunci Admin Berubah Menjadi Tombol Mint Senilai $77 Juta

Mekanika di sini sudah dikenal oleh siapa saja yang mengikuti eksploitasi DeFi selama 18 bulan terakhir, dan seharusnya memalukan bagi siapa pun yang menjalankan protokol dengan uang sebanyak ini. Menurut analis onchain dan pernyataan pasca-insiden dari Echo sendiri, sebuah kunci privat administratif tunggal mengendalikan hak minting untuk eBTC di Monad, tanpa perlindungan multisig, tanpa timelock, tanpa batas mint per blok, dan tanpa batas penerbitan. Begitu penyerang mendapatkan kunci tersebut, mereka bisa melakukan apa pun yang mereka mau, dan mereka melakukannya. Mereka memberikan hak minting ke dompet mereka sendiri, mencetak 1.000 eBTC baru, dan segera mencoba untuk memonetisasi tas tersebut. Penyidik onchain melihat mint yang mencurigakan dalam hitungan menit dan alarm berbunyi di seluruh Twitter crypto sebelum Echo menyelesaikan pernyataan pertamanya.

Jalan yang dilalui layak ditelusuri karena menunjukkan di mana uang sebenarnya ada dalam DeFi lintas rantai. Penyerang menyetor 45 eBTC, sekitar $3,45 juta di atas kertas, ke Curvance sebagai jaminan. Dari sana, mereka meminjam sekitar 11,29 WBTC, Bitcoin nyata, senilai sekitar $867.000. WBTC tersebut dijembatani ke Ethereum, ditukar dengan ETH, dan 384 ETH dialirkan ke Tornado Cash. Menurut rincian eksploitasi yang mendetail, kerugian yang terwujud sebenarnya sekitar $816.000 setelah semua diperhitungkan. 955 eBTC lainnya pada dasarnya tidak bernilai, karena tidak ada yang di sisi perdagangan yang bersedia membelinya dengan nilai yang mendekati nilai yang adil.

Mint Berhasil. Mencairkan Tidak Berhasil.

Ini adalah bagian dari cerita yang seharusnya membuat tim DeFi terjaga di malam hari, bahkan ketika protokol mereka bukan yang sedang dikuras. Kerentanannya semudah itu, sebuah titik kegagalan tunggal pada kunci admin. Proses minting berjalan sempurna. Peminjaman berjalan. Jembatan berjalan. Mixer berjalan. Yang tidak berjalan adalah pasar sebenarnya, karena Monad masih merupakan rantai muda dan pool eBTC yang ada di sana tipis. Penyerang membangun tumpukan Bitcoin sintetis senilai $77 juta dan hanya bisa mengonversi sekitar 1% darinya menjadi nilai nyata. Jika setup yang sama menunggu mereka di Ethereum mainnet atau pasar Solana yang lebih dalam, kerugian yang terwujud akan terlihat sangat berbeda, dan Echo akan menulis pernyataan yang sangat berbeda hari ini.

Protokol Echo bersikeras bahwa insiden ini terisolasi di Monad, tanpa bukti adanya kompromi pada penerapan Aptos-nya. Tim mengatakan bahwa aBTC di Aptos dan eBTC di Monad adalah aset terpisah yang tidak dapat dijembatani, dengan paparan Aptos saat ini terbatas pada sekitar $71.000 di pasar pinjaman Echo dan kolam likuiditas Hyperion, tanpa kerugian yang terkonfirmasi di sana. Meski begitu, jembatan Aptos telah sepenuhnya dihentikan sementara tim melakukan tinjauan yang lebih luas. Ini membawa hitungan eksploitasi crypto bulan Mei ke angka dua digit menurut pelacak industri, melanjutkan apa yang telah menjadi paruh pertama 2026 yang brutal untuk keamanan DeFi, dengan kompromi kunci admin kini melampaui bug kontrak pintar klasik sebagai penyebab utama dana yang dicuri.

Apa yang Dikatakan Kekacauan Echo Tentang DeFi di 2026

Bagi siapa pun yang memegang varian Bitcoin wrapped di seluruh rantai yang lebih baru, pelajaran di sini tidak nyaman. Aset wrapped hanya seaman kunci admin yang mengendalikannya, dan "kunci admin di dompet panas" masih dianggap sebagai manajemen risiko yang dapat diterima di protokol yang mengelola puluhan juta dolar pengguna. Setup multisig, timelock, penyimpanan kunci perangkat keras, dan batas mint ada untuk alasan ini, dan sekarang bukan fitur opsional lagi. Tim di belakang Echo layak mendapatkan kredit karena bergerak cepat untuk mengunci kembali kunci dan membakar token yang tersisa, yang mencegah kerusakan semakin parah. Tetapi semua itu tidak akan diperlukan jika perlindungan dasar tersebut sudah ada sejak hari pertama.

Sisi positif yang lebih kecil, jika Anda ingin menyebutnya begitu, adalah pasar tipis yang mengubah serangan senilai $77 juta menjadi $816.000. Penyerang cukup beruntung menemukan celah dan tidak beruntung menemukannya di rantai di mana hasil curian tidak dapat dijual. Penyerang berikutnya yang melakukan trik yang sama di pasar yang lebih dalam tidak akan memiliki masalah itu, dan kunci admin berikutnya yang tidak terlindungi di dompet panas ada di luar sana, hanya menunggu untuk diperhatikan. Pengguna yang memilih platform DeFi Bitcoin mana yang harus dipercaya sebaiknya menanyakan tentang manajemen kunci sebelum menyetor apa pun, karena jawabannya jauh lebih penting daripada yang ditunjukkan oleh sebagian besar halaman pemasaran.

---------------

Penulis: Dorian Fenwick Silicon Valley Newsroom Berita Crypto Terbaru

Langganan GCP di pembaca