Bagaimana Exploit Jembatan Polkadot Terjadi (Penjelasan Pemula).

Seorang penyerang mengeksploitasi kerentanan di sebuah jembatan antara Polkadot dan Ethereum, memungkinkan mereka mencetak sejumlah besar token tanpa dukungan dan menjualnya di pasar.
Meskipun pasokan besar yang dibuat, mereka hanya mampu mengeluarkan sekitar $240.000 dalam ETH sebelum likuiditas habis.
Mari kita uraikan bagaimana hal ini bisa terjadi langkah demi langkah.
Apa Itu Jembatan Blockchain?
Untuk memahami apa yang terjadi, kita perlu mulai dari dasar.
Blockchain seperti Polkadot dan Ethereum adalah sistem yang terpisah, mereka tidak secara alami berkomunikasi satu sama lain. Sebuah jembatan adalah alat yang menghubungkan keduanya.
Analogi sederhana:
Bayangkan dua negara dengan mata uang berbeda:
Negara A = Polkadot
Negara B = Ethereum
Sebuah jembatan bekerja seperti kantor pertukaran mata uang:
Anda menyetor DOT asli di Polkadot, jembatan menguncinya dan memberimu “wrapped DOT” di Ethereum.
Token yang dibungkus ini mewakili DOT asli Anda.
Token yang dibungkus ini hanya memiliki nilai jika jembatan aman dan dapat dipercaya.
Apa Itu Bukti Kriptografi?
Jembatan tidak mempercayai pengguna secara langsung. Sebaliknya, mereka bergantung pada bukti kriptografi.
Bukti kriptografi adalah seperti tanda terima yang dapat diverifikasi secara matematis yang mengatakan:
“Peristiwa ini benar-benar terjadi di blockchain lain.”
Contoh:
“Pengguna mengunci 100 DOT di Polkadot”
Bukti ini mengonfirmasi bahwa ini benar, kemudian jembatan mengeluarkan 100 wrapped DOT di Ethereum.
Mengapa ini aman?
Karena bukti ini didasarkan pada matematika kompleks dan data blockchain, mereka dirancang agar tidak mungkin dipalsukan.
Apa Arti “Forge”?
Untuk memalsukan sesuatu dalam crypto berarti membuat versi palsu yang cukup nyata untuk menipu sistem.
Membuat sistem percaya bahwa sesuatu terjadi padahal tidak.
Di sinilah masalah utama terjadi.
Masalah inti dalam kasus ini adalah bahwa jembatan mempercayai bukti palsu.,
Alih-alih memverifikasi dengan benar: “Apakah bukti ini nyata?”
Sistem secara efektif berkata: “Kelihatannya bagus buat saya.”
Tapi kenyataannya, tidak.
Bagaimana Penyerang Mengambil Kendali
Penyerang tidak hanya memalsukan transaksi, mereka menggunakan bukti palsu tersebut untuk memicu aksi istimewa di dalam kontrak pintar.
Kontrak pintar adalah program di blockchain yang secara otomatis mengeksekusi aturan dan mengendalikan aset.
Beberapa fungsi dibatasi hanya untuk admin.
Apa yang terjadi di sini?
Penyerang mengajukan bukti palsu, dan kontrak percaya bahwa itu berasal dari sumber terpercaya. Akibatnya, kontrak mengizinkan eksekusi fungsi terbatas, yang memberi penyerang hak admin. Pada titik itu, mereka memiliki kendali penuh atas kontrak.
Serangan:
Dengan kendali penuh, penyerang mencetak 1.000.000.000 token wrapped DOT palsu di Ethereum. Token ini tidak didukung oleh DOT asli.
Untuk mengubahnya menjadi uang nyata, mereka menggunakan kolam likuiditas di Uniswap.
Mereka menukar token palsu dengan ETH menggunakan kolam di mana pengguna nyata telah menyetor dana.
Klarifikasi penting: Ini bukan kegagalan Uniswap. Uniswap bersifat permissionless dan tidak memverifikasi apakah sebuah token “legitimate” atau jika token tersebut ada dan memiliki likuiditas. Transaksi dilakukan secara otomatis.
Masalah sebenarnya adalah jembatan yang rentan (Hyperbridge), yang memungkinkan token tidak valid dan tanpa dukungan untuk ada sejak awal.
Di mana Serangan Benar-Benar Terjadi:
Penyerang tidak pernah menyentuh jaringan utama Polkadot.
Segalanya terjadi di:
Ethereum → tempat token palsu dicetak dan dijual
Uniswap → tempat likuiditas dikuras
Jembatan → tempat kerentanannya ada
Hasil Akhir:
penyerang mengeluarkan sekitar 108 ETH (~$240K) sebelum likuiditas habis.