Kerugian mencapai $1,5 juta saat penyerang mengakses dua kontrak pintar DeFi di Arbitrum

Penelitian on-chain mencatat arus keluar dari dua proyek berbasis Arbitrum. Seorang penyerang berhasil mendapatkan akses ke dua proyek tersebut, meluncurkan smart contract berbahaya. 

Dua proyek Arbitrum yang diluncurkan oleh deployer yang sama mengalami penarikan tidak sah senilai sekitar $1,5 juta. Penyerang berhasil mendapatkan akses admin, mengganti smart contract dengan versi berbahaya. 

Cyvers Alert mencatat beberapa transaksi mencurigakan di Arbitrum, yang masih menjadi salah satu jaringan L2 kompatibel Ethereum paling aktif. 

Penelitian awal menunjukkan deployer proyek USDGambit dan TLP mungkin kehilangan akses ke akun mereka. Hal ini memungkinkan penyerang meluncurkan kontrak baru dengan izin ProxyAdmin, mengendalikan kedua proyek DeFi tersebut. Dana yang dicuri dijembatani kembali ke Ethereum dan dicampur. 

Serangan Arbitrum mengikuti eksploitasi smart contract skala kecil serupa

Serangan terbaru memperpanjang tren serangan yang relatif canggih dan tertarget terhadap protokol yang lebih kecil. Peretasan kripto melambat pada tahun lalu, tetapi DeFi dan dompet individu, serta smart contract, tetap menjadi salah satu target utama. 

Serangan ini mengikuti pencurian Unleash Protocol baru-baru ini, yang kembali berhasil mendapatkan akses ke proses tata kelola dan menerapkan smart contract berbahaya. Seperti serangan sebelumnya, dana hampir segera dicampur. 

Bahkan setelah arus keluar tahun lalu, Arbitrum tetap menjadi salah satu tempat utama untuk aktivitas DeFi, masih membawa lebih dari $3 miliar likuiditas. 

Serangan terbaru menargetkan proyek yang relatif tidak dikenal

Serangan terbaru mempengaruhi proyek yang relatif tidak dikenal, dengan hasil curian yang lebih kecil. Serangan terbaru mengikuti model yang telah dikaitkan dengan peretas DPRK, yang sebagian besar menggunakan jaringan Ethereum dan Tornado Cash untuk mencuci dana. 

Dalam kasus ini, penyerang memilih proyek dengan likuiditas sisa. USD Gambit mengarah ke satu bursa, yang akan dihapus secara bertahap dalam beberapa minggu mendatang. Proyek ini telah ada sejak 2023, tetapi tidak mendapatkan manfaat dari pemulihan DeFi dan perdagangan futures perpetual. Serangan terbaru menunjukkan bahwa semua proyek Web3 tetap berisiko menguras likuiditas yang tersedia. 

Pada kuartal terakhir 2025, Tornado Cash juga menunjukkan lonjakan deposit. Mixer tersebut memegang nilai terkunci rekor, dari peretasan baru dan eksploitasi lama. Mixer tersebut berisi lebih dari 338 ribu ETH, melampaui bahkan puncak 2021. 

Bahkan mixer Railgun, yang memerlukan lebih banyak pemantauan, telah mencapai aktivitas puncak pada akhir 2025.

Eksploiter baru bergerak cepat untuk menghindari daftar hitam alamat. Namun, sebagian besar proyek Web3 memungkinkan perdagangan tanpa memasukkan alamat eksploitasi ke daftar hitam. Tidak seperti peretasan lama, eksploiter baru cenderung menukar dan mencampur dana mereka hampir segera, mengandalkan infrastruktur Web3 yang lebih luas.

Dapatkan perhatian di tempat yang penting. Beriklan di Cryptopolitan Research dan jangkau investor dan pembangun kripto paling tajam.