-
Eksploitasi Aperture Finance menyebabkan kerugian sebesar $3,67 juta setelah penyerang menargetkan smart contract V3 dan V4 yang rentan.
-
Wallet yang terkait dengan peretasan kemudian memindahkan 1.242 ETH senilai $2,4 juta ke Tornado Cash untuk tujuan pencucian.
-
Tim keamanan mendesak pengguna untuk mencabut persetujuan ERC20 dan posisi likuiditas yang terkait dengan alamat contract yang telah dikompromikan.
Platform DeFi Aperture Finance mengalami pelanggaran keamanan besar, kehilangan sekitar $3,67 juta akibat eksploitasi smart contract. Perusahaan keamanan blockchain PeckShield menunjukkan bahwa peretas secara aktif memindahkan dana curian melalui Tornado Cash, sebuah layanan mixing privasi.
Aktivitas ini menimbulkan kekhawatiran baru terkait pemulihan dana dan bagaimana peretasan tersebut sebenarnya terjadi.
Bagaimana Eksploitasi Aperture Finance Terjadi
Menurut PeckShield, peretasan Aperture Finance terjadi pada 25 Januari 2026 karena adanya kelemahan pada smart contract V3 dan V4, dikombinasikan dengan persetujuan token pengguna yang sudah ada.
Pada platform DeFi, pengguna sering mengizinkan contract untuk memindahkan token ERC-20 atau NFT posisi likuiditas mereka agar perdagangan dan strategi bisa berjalan secara otomatis. Namun dalam kasus ini, pelaku menemukan celah pada cara contract menangani izin tersebut dan pemanggilan fungsi.
Alih-alih meretas wallet atau mencuri private key, penyerang memanfaatkan logika contract itu sendiri untuk memicu transfer aset tanpa izin.
Karena banyak pengguna telah memberikan persetujuan, penyerang dapat memindahkan dana tanpa membutuhkan tanda tangan baru. Hal ini memungkinkan mereka menguras aset yang terkait dengan token dan posisi likuiditas yang telah disetujui.
Dana Dipindahkan ke Tornado Cash Setelah Peretasan
Semua ini menyebabkan ekstraksi nilai sebesar $3,67 juta, penyerang mengonversi sebagian besar dana menjadi ETH, dan mengirim sekitar 1.242 ETH ke Tornado Cash untuk menyembunyikan jejak.
Pelaku biasanya menggunakan layanan mixing seperti Tornado Cash untuk menyamarkan asal-usul crypto curian dan membuat pelacakan menjadi lebih sulit. Dana dikirim dalam beberapa transaksi kecil, termasuk batch 10 ETH dan 100 ETH, metode umum untuk menghindari perhatian.
- Baca juga :
- ,
Pengguna Diminta Mencabut Persetujuan Token dan NFT
Setelah eksploitasi, tim Aperture Finance merilis pemberitahuan darurat dan membagikan daftar alamat contract yang terdampak. Mereka juga memperingatkan pengguna untuk segera mencabut semua persetujuan token ERC-20 dan persetujuan posisi likuiditas ERC-721 yang terkait dengan alamat berisiko tersebut.
Persetujuan wallet memungkinkan smart contract memindahkan dana pengguna, dan jika dibiarkan aktif, dapat disalahgunakan setelah contract dikompromikan.
Jangan Lewatkan Berita Terbaru di Dunia Crypto!
Tetap terdepan dengan berita terkini, analisis ahli, dan pembaruan real-time tentang tren terbaru di Bitcoin, altcoin, DeFi, NFT, dan lainnya.
FAQ
Peretas mengeksploitasi kelemahan pada smart contract platform, menggunakan persetujuan token pengguna yang sudah ada untuk memindahkan aset tanpa mencuri private key.
Pengguna harus segera mencabut semua persetujuan token dan posisi likuiditas yang terkait dengan alamat contract terdampak untuk mencegah kerugian lebih lanjut.
Layanan seperti Tornado Cash menyamarkan jejak transaksi, sehingga sulit melacak dan memulihkan cryptocurrency yang dicuri setelah peretasan.
Tidak. Eksploitasi memanfaatkan izin smart contract; private key Anda tetap aman, tetapi dana yang sudah disetujui berada dalam risiko.
