Insiden serangan jembatan lintas rantai CrossCurve senilai $3 juta: Bagaimana melewati verifikasi keamanan melalui informasi palsu

Pada hari Minggu, proyek DeFi CrossCurve (sebelumnya bernama EYWA) mengalami insiden keamanan besar. Tim resmi proyek menemukan adanya celah serius dalam mekanisme transfer aset lintas rantai mereka, yang menyebabkan sekitar $3 juta dana disalahgunakan secara ilegal. Berdasarkan analisis dari BlockSec dan beberapa perusahaan keamanan lainnya, kejadian ini kembali mengungkapkan risiko sistemik dari keamanan jembatan lintas rantai saat ini.

Tim CrossCurve kemudian mengunci sepuluh alamat dompet Ethereum yang menerima aset yang dicuri. Dalam pernyataannya, CEO CrossCurve, Борис Повар, menyatakan bahwa bukti awal tidak menunjukkan bahwa penerima dana secara sengaja terlibat dalam aktivitas jahat, tetapi tim memberikan batas waktu 72 jam. Jika dana tidak dikembalikan atau penerima tidak menghubungi, CrossCurve akan meningkatkan langkah penanganan—termasuk melaporkan ke penegak hukum, membekukan aset di bursa, mengungkapkan informasi dompet secara terbuka, dan bekerja sama dengan perusahaan analisis blockchain untuk melacak aliran dana.

Rahasia Serangan: Bagaimana Palsu Pesan Lintas Rantai Menipu Mekanisme Verifikasi

Inti teknis dari serangan ini terletak pada pengelabuan proses verifikasi. Penyerang berhasil mengirim pesan komunikasi lintas rantai palsu ke kontrak pintar CrossCurve. Instruksi palsu ini seharusnya dikenali dan ditolak oleh sistem, tetapi karena logika verifikasi yang tidak sempurna, kontrak salah menganggap data penipuan sebagai instruksi yang sah, lalu mengeksekusi pengambilan dana tanpa izin.

Dalam laporan analisisnya, BlockSec menyebutkan bahwa akar masalahnya adalah “kekurangan serius dalam mekanisme verifikasi”. Pesan lintas rantai harus melewati proses otentikasi identitas sebelum dieksekusi, tetapi dalam arsitektur CrossCurve, pemeriksaan penting ini tidak dilakukan secara memadai, sehingga kontrak tidak melakukan konfirmasi keaslian data saat menerima informasi.

Kerugian Multi-Rantai dan Distribusi Dana

Terkait skala kerugian, data evaluasi dari industri bervariasi. Defimons (akun pemantauan keamanan yang dikelola oleh tim Decurity) memperkirakan total kerugian mencapai $3 juta, melibatkan beberapa jaringan blockchain. Sementara itu, BlockSec menyusun distribusi yang lebih rinci: sekitar $1,3 juta kerugian di Ethereum, sekitar $1,28 juta di Arbitrum, dan sekitar $180.000 tersebar di jaringan baru seperti Optimism, Base, Mantle, Kava, Frax, Celo, dan Blast.

CrossCurve belum mengeluarkan konfirmasi total kerugian resmi maupun menanggapi estimasi dari perusahaan keamanan. Ketidakkonsistenan data ini mencerminkan bahwa penghitungan kerugian lintas rantai secara akurat masih menjadi tantangan besar dalam ekosistem lintas rantai.

Celah Utama: Titik Verifikasi Tunggal yang Mematikan

Kepala Strategi dan Penelitian Wallet Unstoppable, Дан Дадыбаё, memberikan analisis teknis yang lebih mendalam tentang insiden ini. Ia menyatakan bahwa protokol lintas rantai Axelar yang digunakan oleh CrossCurve sendiri tidak bermasalah, tetapi celah utama terletak pada kontrak ReceiverAxelar yang dikembangkan secara mandiri oleh CrossCurve. Kontrak penerima pesan yang dikustomisasi ini gagal menerapkan mekanisme otentikasi identitas yang cukup saat menangani komunikasi lintas rantai.

Дадыбаё menegaskan bahwa tantangan utama keamanan jembatan lintas rantai bukan pada lapisan pengiriman pesan itu sendiri, melainkan memastikan tidak ada jalur eksekusi yang bisa melewati pemeriksaan otentikasi. Jika ada jalur alternatif yang memungkinkan melewati lapisan ini, seluruh sistem kepercayaan akan runtuh.

Sebagai contoh, ia mengacu pada serangan Nomad Bridge pada 2022: dalam insiden tersebut, penyerang juga memanfaatkan celah verifikasi, menyebabkan kerugian hampir $190 juta. Ini menunjukkan bahwa metode serangan serupa sudah pernah terjadi di industri, dan beberapa proyek masih mengulangi kesalahan saat merancang kontrak.

Masalah Industri dan Pelajaran Perlindungan

Kesepakatan industri menyatakan bahwa masalah mendasar dari jembatan lintas rantai saat ini adalah struktur likuiditas yang terpusat dan logika verifikasi yang terpisah-pisah antar proyek. Selama proyek jembatan menyerahkan kepercayaan utama kepada satu proses verifikasi, jika proses tersebut memiliki celah, seluruh sistem menjadi rentan.

Untuk pengguna, disarankan untuk mengambil langkah-langkah perlindungan berikut:

• Bersikap hati-hati saat melakukan operasi lintas rantai, terutama pada solusi yang baru diluncurkan atau kurang dikenal
• Membaca laporan audit keamanan proyek sebelum digunakan, dan lebih memilih produk yang telah diaudit oleh perusahaan keamanan ternama
• Menyebarkan risiko, hindari mentransfer dana dalam jumlah besar sekaligus melalui satu jalur jembatan
• Mengikuti peringatan risiko real-time dari platform pemantauan keamanan terkait proyek tersebut

Insiden CrossCurve kembali menegaskan bahwa bahkan dalam ekosistem DeFi yang tampaknya matang, masih ada celah keamanan yang dapat dieksploitasi. Pertumbuhan teknologi lintas rantai mendorong kolaborasi multi-rantai, tetapi juga menciptakan peluang baru bagi penyerang. Hanya melalui standar desain yang lebih ketat, audit keamanan yang lebih menyeluruh, dan transparansi pengungkapan risiko, kita dapat secara bertahap mengurangi risiko keamanan dalam ekosistem lintas rantai.