Bayangkan seseorang mengambil dompetmu, lalu mengembalikan separuh isinya sambil berkata sisanya adalah ‘jasa’ karena sudah menunjukkan dompetmu ternyata mudah dicuri. Kira-kira begitu situasi yang kini dihadapi TrustedVolumes. Peretas yang menguras dananya pada Mei lalu baru saja mengembalikan 1.122 ETH - sekitar $2 juta - sambil tetap menahan sekitar $2 juta lainnya yang ia sebut sendiri sebagai ‘bounty’.
Yang membuat kasus ini ganjil: sampai laporan ini ditulis, TrustedVolumes belum pernah secara resmi mengonfirmasi menyetujui syarat bounty yang diajukan sepihak itu.
Anatomi Sebuah Perampokan Bertanda Tangan
Eksploit ini bermula pada 7 Mei 2026 dan awalnya menguras sekitar $5,87 juta dari kontrak yang dikendalikan TrustedVolumes, sebuah penyedia likuiditas alias market maker. Firma keamanan Blockaid mengidentifikasi aset yang lenyap: 1.291,16 WETH, 206.282 USDT, 16,939 WBTC, dan 1,27 juta USDC. PeckShield kemudian melaporkan peretas menukar semua token itu dan mengonsolidasikan hasilnya menjadi sekitar 2.513 ETH.
Titik lemahnya terletak pada sistem request-for-quote (RFQ) kustom milik TrustedVolumes yang beroperasi di atas infrastruktur 1inch. Sistem ini dipakai untuk mengutip harga token dan mengeksekusi trade bertanda tangan dari inventaris mereka sendiri. Verichains menemukan satu fungsi publik yang sama sekali tanpa kontrol akses - celah yang memungkinkan peretas mendaftarkan alamatnya sendiri sebagai ‘order signer’ resmi. Dengan status itu, ia bisa membuat transaksi yang tampak sah di mata sistem proxy, lalu memerintahkan proxy menyedot WETH, WBTC, USDT, dan USDC langsung dari vault inventaris. Verichains juga menemukan ketidakcocokan antara alamat yang diverifikasi otorisasinya dengan alamat yang sebenarnya menyuplai token, plus mekanisme replay protection yang gagal mencatat order dengan benar.
Penting dicatat, meski TrustedVolumes memasok likuiditas lewat 1inch, serangan ini tidak membobol kontrak agregasi inti 1inch maupun rute swap standar penggunanya. Blockaid menegaskan peretas menyasar setup resolver Ethereum khusus milik TrustedVolumes, bukan jalur 1inch reguler - sebuah pembeda yang melegakan bagi jutaan pengguna 1inch biasa.
Ketika Nilai ‘Pengembalian’ Menyusut Sendiri
Ada ironi tambahan dalam pengembalian ini. Nilai gabungan dana yang dikembalikan sekarang justru lebih rendah dari kerugian awal, karena harga ETH sudah turun sejak Mei - saat aset curian pertama kali dikonversi menjadi ETH. Artinya, meski peretas ‘murah hati’ mengembalikan separuh, korban tetap menanggung selisih akibat pergerakan pasar.
📌 Baca Juga20 Modul Jahat Mengintai Dompet Kripto Diam-diam Lebih dari Setahun - Kaspersky Bongkar Cara Kerjanya
TrustedVolumes sendiri merespons dengan bahasa yang hati-hati. Mereka menawarkan diskusi soal ‘vulnerability bounty’ dan solusi yang saling menguntungkan, serta mengundang peretas memulai komunikasi konstruktif. Namun pernyataan resmi itu sama sekali tidak menyebutkan angka bounty yang diusulkan - meninggalkan kesan bahwa besaran ‘hadiah’ ini murni ditentukan oleh pihak yang justru melakukan pencurian.
Pola yang Terus Berulang
Blockaid mengaitkan wallet peretas dengan eksploit Fusion V1 pada Maret 2025. Menariknya, serangan Mei 2026 ini menggunakan celah keamanan yang berbeda, spesifik pada proxy kustom TrustedVolumes - menandakan pelaku yang sama terus berburu titik lemah baru dari korban ke korban.
Kasus ini menyingkap dilema yang makin lazim di DeFi: batas antara ‘peretas jahat’ dan ‘peretas topi putih yang menagih jasa’ kian kabur ketika si pelaku yang menentukan sendiri berapa nilai jasanya - dan menahan dana korban sebagai jaminan. Untuk pengguna awam, pelajaran praktisnya bukan soal teknis RFQ atau resolver, melainkan satu prinsip lama yang tak pernah usang: protokol yang menyimpan dana besar wajib diaudit sampai ke fungsi paling remeh, karena satu fungsi tanpa kontrol akses saja sudah cukup untuk membuka pintu selebar-lebarnya.
Dilansir dari crypto.news.
Disclaimer: Artikel ini bersifat informatif dan edukatif, bukan nasihat keuangan. Aset kripto sangat fluktuatif dan berisiko tinggi. Selalu lakukan riset mandiri (DYOR) dan jangan berinvestasi melebihi kemampuanmu menanggung kerugian.




