CrossCurve Jembatan lintas rantai diretas kehilangan 3 juta dolar AS: celah kontrak pintar kembali memperingatkan

Di balik kenyamanan keuangan lintas rantai, celah keamanan seperti bom waktu yang terus meledak dengan pola serupa, membuat seluruh industri terjebak dalam refleksi.

Pada 2 Februari 2026, waktu Beijing, CrossCurve (nama sebelumnya EYWA), protokol likuiditas lintas rantai yang didukung oleh pendiri Curve Finance Michael Egorov, secara resmi mengonfirmasi bahwa protokol jembatan lintas rantai mereka sedang diserang karena celah kontrak pintar. Penyerang memalsukan pesan lintas rantai, melewati verifikasi gateway penting, memicu pembukaan kunci token tanpa otorisasi, sehingga sekitar 3 juta dolar AS dana dicuri di beberapa rantai.

Ringkasan Kejadian: Mengapa Arsitektur Verifikasi Multi-Layer Gagal?

Sekitar 31 Januari 2026, lembaga keamanan blockchain Defimon Alerts mendeteksi saldo kontrak inti CrossCurve, PortalV2, turun dari sekitar 3 juta dolar AS menjadi hampir nol. CrossCurve segera merilis pengumuman darurat di platform X: “Jaringan jembatan kami saat ini sedang diserang, penyerang memanfaatkan celah dalam kontrak pintar tertentu. Selama penyelidikan berlangsung, harap hentikan semua interaksi dengan CrossCurve.”

Ironisnya, sebelumnya CrossCurve selalu menonjolkan arsitektur keamanan verifikasi multi-layer “jembatan konsensus” sebagai keunggulan utama. Arsitektur ini mengintegrasikan Axelar, LayerZero, dan jaringan oracle EYWA miliknya sendiri, bertujuan mengeliminasi titik kegagalan tunggal melalui sumber verifikasi independen. Tim proyek pernah menyatakan: “Kemungkinan serangan terhadap beberapa protokol lintas rantai secara bersamaan hampir nol.”

Analisis Celah: Kegagalan Verifikasi Mematikan

Analisis keamanan mengungkapkan esensi teknis dari serangan ini. Akar celah terletak pada kekurangan verifikasi yang tampaknya sederhana, tetapi cukup untuk menembus sistem verifikasi multi-layer yang kompleks.

Jalur Serangan

Inti serangan terjadi di kontrak ReceiverAxelar CrossCurve. Kontrak ini bertanggung jawab menerima pesan dari jaringan lintas rantai Axelar dan mengeksekusi instruksi terkait.

Biasanya, setiap pesan lintas rantai yang akan dieksekusi harus melalui verifikasi konsensus jaringan Axelar. Namun, fungsi expressExecute dalam kontrak ini memiliki cacat fatal. Penyerang menemukan bahwa mereka dapat langsung memanggil fungsi ini dan memasukkan parameter pesan lintas rantai palsu, tanpa verifikasi sumber pesan yang memadai.

Alur Serangan

Setelah instruksi palsu diterima, kontrak akan mengirimkan perintah pembukaan kunci token ke kontrak inti PortalV2 yang bertanggung jawab atas pengelolaan aset.

Karena kontrak PortalV2 sepenuhnya mempercayai instruksi dari ReceiverAxelar, kontrak ini akan secara setia melepaskan berbagai aset yang terkunci ke alamat yang ditunjuk penyerang. Proses ini dapat diulang berkali-kali, hingga aset utama dalam kontrak benar-benar habis dijarah.

Pengulangan Sejarah: Luka Keamanan yang Belum Sembuh Empat Tahun

Peristiwa ini menimbulkan rasa deja vu yang kuat di komunitas keamanan kripto. Ahli keamanan Taylor Monahan terkejut: “Saya hampir tidak percaya bahwa sudah empat tahun berlalu dan situasinya tidak berubah sama sekali.” Yang dia maksud adalah serangan jembatan lintas rantai Nomad yang mengguncang industri pada Agustus 2022. Saat itu, Nomad mengalami pencurian sekitar 1,9 miliar dolar AS karena celah verifikasi inisialisasi serupa. Lebih mengejutkan lagi, karena metode eksploitasi celah sangat sederhana, setelah kejadian itu berkembang menjadi pesta perampokan uang, dengan lebih dari 300 alamat meniru teknik serangan dan ikut mencuri dana.

Dari Nomad ke CrossCurve, metode serangan secara esensial sangat mirip: keduanya berakar pada kurangnya verifikasi sumber pesan lintas rantai yang merupakan elemen keamanan paling dasar. Tragedi berulang ini dengan tajam menunjukkan bahwa, meskipun industri berkembang pesat, standar pengembangan dan audit kontrak pintar yang fundamental belum diterapkan secara efektif.

Reaksi Pasar: Krisis Kepercayaan dan Fluktuasi Harga

Peristiwa keamanan ini dengan cepat memicu reaksi berantai di pasar. CrossCurve yang diserang memiliki hubungan erat dengan protokol DeFi terkemuka Curve Finance, yang pendirinya pernah menjadi jaminan kepercayaan penting bagi CrossCurve.

Setelah kejadian, Curve Finance segera merilis pernyataan resmi di platform X, menyarankan pengguna “untuk meninjau kembali posisi mereka dan mempertimbangkan untuk menarik voting ini,” serta menekankan pentingnya berhati-hati saat berinteraksi dengan “proyek pihak ketiga.” Pernyataan yang berhati-hati ini secara luas diartikan sebagai upaya cepat untuk membatasi kerusakan reputasi mereka sendiri agar tidak terkena dampak.

Respon Pasar Utama

Menurut data pasar Gate, hingga 2 Februari 2026, harga Bitcoin (BTC) dalam 24 jam terakhir mengalami perubahan -2,51%, menjadi $76.814.

Pada waktu yang sama, harga Ethereum (ETH) turun -7,42%, menjadi $2.271,18. Meski fluktuasi pasar dipicu oleh banyak faktor, celah keamanan besar dalam protokol utama ekosistem DeFi jelas memperburuk sentimen perlindungan risiko pasar.

Refleksi Industri: Paradoks Keamanan Jembatan Lintas Rantai

Peristiwa CrossCurve kembali menegaskan konsensus industri bahwa “jembatan lintas rantai adalah bagian paling rapuh dalam dunia kripto.” Baik itu Ronin (kerugian 6,25 miliar dolar AS), Wormhole (kerugian 3,25 miliar dolar AS), maupun kejadian ini, semuanya membuktikan penilaian tersebut.

Paradoks keamanan jembatan lintas rantai terletak pada kenyataan bahwa: untuk memungkinkan aset mengalir bebas antar blockchain, jembatan ini harus membangun kepercayaan dan pusat verifikasi di lingkungan rantai yang berbeda dengan model keamanan yang berbeda pula. Jika pusat verifikasi ini (kontrak pintar) mengalami celah logika, maka akan menjadi titik kegagalan tunggal dari seluruh kolam dana. Bahkan jika dirancang dengan verifikasi eksternal berlapis seperti CrossCurve, kekurangan implementasi kontraknya tetap dapat membuat semua perlindungan eksternal menjadi sia-sia.

Perkembangan Terbaru dan Tindakan Pengguna

Menghadapi terus berlanjutnya aliran dana dan tekanan opini publik, tim proyek CrossCurve mengambil langkah-langkah krisis setelah kejadian terungkap. Berdasarkan pernyataan resmi terbaru mereka, proyek menetapkan batas waktu pengembalian dana selama 72 jam. Mereka mengimbau pemilik alamat terkait untuk bekerja sama mengembalikan dana yang salah kirim, dan berdasarkan “kebijakan pengungkapan tanggung jawab perlindungan keamanan,” berjanji memberikan hadiah hingga 10% dari dana kepada hacker putih.

Jika dalam waktu yang ditentukan tidak tercapai penyelesaian, tim akan meningkatkan langkah penanganan, termasuk memulai proses hukum dan bekerja sama dengan bursa serta penerbit stablecoin untuk melacak dan membekukan aset terkait.

Harga Bitcoin dalam 24 jam setelah kejadian turun 2,51%, sementara penurunan Ethereum lebih dalam, mencapai 7,42%. Pasar merespons dengan angka dingin terhadap keruntuhan kepercayaan yang dipicu oleh cacat kode ini.

Tim CrossCurve sedang menghitung mundur 72 jam “zona aman.” Catatan transaksi di blockchain menunjukkan dana yang dicuri masih tertidur di alamat penyerang, belum dipindahkan secara besar-besaran. Badai yang dipicu oleh hilangnya satu baris kode verifikasi ini, apakah akan berakhir dengan penyelesaian white-hat atau berkembang menjadi perang tarik ulur aset lintas negara yang panjang, jawaban masih menggantung di udara.