Kontrak Fusion diserang hacker, $267.000 dialihkan ke Tornado Cash, keamanan DeFi kembali memberi peringatan

Menurut berita terbaru, CertiK Alert mendeteksi adanya celah keamanan serius pada kontrak Fusion PlasmaVault pada 7 Januari. Peretas dalam satu operasi penarikan dana, melalui konfigurasi kontrak “fuse”, memindahkan seluruh dana (sekitar 267.000 USD) ke alamat EOA 0x9b1b, kemudian melakukan transfer lintas chain ke Ethereum dan memasukkan ke Tornado Cash mixer. Peristiwa ini kembali mengungkap risiko keamanan pada tahap konfigurasi kontrak di protokol DeFi.

Rincian Peristiwa: dari konfigurasi hingga penyamaran rantai lengkap

Analisis proses serangan

Inti dari serangan ini adalah pemanfaatan selisih waktu:

• Peretas memulai panggilan penarikan dalam hitungan detik setelah konfigurasi kontrak “fuse” selesai
• Memanfaatkan celah logika pada tahap konfigurasi kontrak, melewati mekanisme pengelolaan dana yang normal
• Memindahkan seluruh dana sekaligus ke satu alamat EOA 0x9b1b
• Melalui jembatan lintas chain, mentransfer ke Ethereum dan akhirnya masuk ke Tornado Cash

Kunci dari proses ini adalah celah pada jendela konfigurasi. Biasanya kontrak DeFi saat inisialisasi atau konfigurasi memiliki kekurangan dalam pemeriksaan izin, dan peretas memanfaatkan jendela waktu ini untuk memindahkan dana.

Mengapa memilih Tornado Cash

Dana yang masuk ke mixer Tornado Cash bukan kebetulan, ini mencerminkan niat jelas dari peretas:

• Menyamarkan sumber dan tujuan dana: Tornado Cash memecah jejak dana di blockchain melalui mekanisme mixing
• Menghindari pembekuan dana: Setelah masuk ke mixer, dana sulit dilacak dan dibekukan
• Persiapan untuk penyembunyian jangka panjang: Ini bukan pencairan cepat, melainkan untuk menyembunyikan dana secara permanen

Pilihan ini menunjukkan bahwa peretas memiliki pemahaman mendalam tentang ekosistem DeFi dan alat privasi.

Isyarat tren keamanan yang lebih besar

Ini bukan kejadian yang terisolasi. Berdasarkan data monitoring terbaru, insiden keamanan DeFi sering terjadi:

Kedua peristiwa ini mencerminkan masalah yang sama: Pengendalian izin pada tahap inisialisasi dan konfigurasi kontrak DeFi masih lemah.

Mengapa celah seperti ini terus ada

• Terburu-buru meluncurkan produk sehingga pemeriksaan konfigurasi tidak cukup
• Tim pengembang kurang mempertimbangkan kondisi batas
• Bahkan setelah audit, sulit menutupi semua skenario
• Peretas semakin mahir memanfaatkan jendela waktu secara tepat

Pelajaran untuk pengguna dan proyek

Pengingat untuk pengembang proyek

• Tambahkan mekanisme multi-signature atau time lock pada tahap konfigurasi
• Setelah inisialisasi, harus ada periode pending sebelum kontrak aktif penuh
• Manajemen izin harus berlapis, tidak satu kontrak mengendalikan seluruh dana

Saran untuk pengguna

• Berhati-hati saat mengikuti proyek baru, tunggu periode observasi
• Pantau peringatan dan monitoring dari lembaga keamanan seperti CertiK secara real-time
• Jangan masukkan dana besar sekaligus ke satu kontrak
• Rutin periksa otorisasi wallet dan cabut izin yang tidak diperlukan

Kesimpulan

Keseriusan insiden Fusion tidak hanya terletak pada kerugian 267.000 USD, tetapi juga mengungkap celah sistemik. Peretas memanfaatkan celah jendela konfigurasi, melakukan transfer lintas chain, dan akhirnya masuk ke mixer, menunjukkan bahwa serangan terhadap DeFi telah membentuk pola yang matang.

Ini juga menjadi pengingat bahwa: Audit dan monitoring penting, tetapi bukan segalanya. Keamanan sejati membutuhkan perencanaan matang sejak tahap desain, dan pengguna harus tetap waspada. Di tengah potensi keuntungan DeFi yang menarik, manajemen risiko harus selalu diutamakan.