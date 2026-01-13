Extropy melaporkan peretasan kripto besar pada Januari 2026. Truebit kehilangan $26 juta, pelanggaran data Ledger mengekspos pengguna, dan serangan phishing meningkat.

Dua minggu pertama tahun 2026 membawa gelombang insiden keamanan di seluruh platform Web3.

Extropy menerbitkan laporan Security Bytes yang mendokumentasikan peristiwa-peristiwa ini. Temuan tersebut menggambarkan gambaran yang mengkhawatirkan tentang lanskap ancaman saat ini.

Menurut laporan tersebut, penyerang melanjutkan operasi mereka selama musim liburan. Kerusakan berkisar dari eksploitasi bernilai jutaan dolar hingga kampanye phishing yang canggih.

Protokol Truebit Kehilangan $26 Juta Akibat Kelemahan Kode Lama

Insiden besar pertama tahun ini menimpa Protokol Truebit pada 8 Januari. Seorang penyerang menguras sekitar $26 juta dalam apa yang disebut Extropy sebagai eksploitasi "kode zombie".

Kerentanan berasal dari integer overflow pada kontrak pintar lama. Kontrak-kontrak lama ini tidak memiliki perlindungan overflow bawaan Solidity modern. Penyerang mencetak jutaan token TRU dengan hampir tanpa biaya.

Setelah dibuat, token-token tersebut membanjiri kembali ke dalam protokol. Semua likuiditas yang tersedia menghilang dalam beberapa jam. Harga token TRU anjlok hampir 100% hanya dalam 24 jam.

Extropy mencatat bahwa penyerang segera memindahkan 8.535 ETH melalui Tornado Cash. Perusahaan keamanan kemudian menghubungkan dompet tersebut dengan eksploitasi Protokol Sparkle sebelumnya. Ini menunjukkan pelaku berulang yang secara khusus menargetkan kontrak yang ditinggalkan.

Laporan tersebut memperingatkan bahwa kontrak lama tetap menjadi kerentanan kritis. Proyek harus secara aktif memantau atau menghentikan kode lama.

TMXTribe Menyaksikan Pengurasan $1,4 Juta Selama 36 Jam

Antara 5 Januari dan 7 Januari, TMXTribe mengalami serangan yang lebih lambat tetapi sama menghancurkannya. Fork GMX di Arbitrum kehilangan $1,4 juta selama 36 jam terus-menerus.

Extropy menggambarkan eksploitasi tersebut sebagai mekanis sederhana. Sebuah loop mencetak token LP, menukarnya dengan stablecoin, kemudian unstake berulang kali. Kontrak yang tidak terverifikasi mencegah analisis publik tentang kelemahan yang tepat.

Yang paling mengganggu peneliti adalah respons tim. Menurut laporan, pengembang tetap aktif on-chain selama serangan. Mereka menerapkan kontrak baru dan menjalankan peningkatan selama pengurasan.

Namun, mereka tidak pernah memicu fungsi jeda darurat. Tim malah mengirim pesan bounty on-chain kepada penyerang. Pencuri mengabaikannya, menjembatani dana ke Ethereum, dan mencucinya melalui Tornado Cash.

Extropy mempertanyakan apakah ini merupakan kelalaian atau sesuatu yang lebih buruk. Laporan tersebut menekankan bahwa kontrak yang tidak terverifikasi berfungsi sebagai bendera merah bagi pengguna.

Pelanggan Ledger Menghadapi Risiko Keamanan Fisik

Pada 5 Januari, Ledger mengonfirmasi pelanggaran data yang memengaruhi basis pelanggannya. Pelanggaran berasal dari pemroses pembayaran Global-e, bukan perangkat keras Ledger.

Nama pelanggan, alamat pengiriman, dan informasi kontak dikompromikan. Extropy memperingatkan ini menciptakan apa yang disebut para ahli keamanan sebagai skenario "serangan kunci pas". Penyerang sekarang memiliki daftar pemilik dompet perangkat keras kripto dan lokasi mereka.

Laporan tersebut mencatat ironi pahit. Ledger sebelumnya menghadapi kritik karena membebankan biaya untuk fitur keamanan. Sekarang pemroses pembayaran mereka telah mengekspos pengguna pada bahaya fisik tanpa biaya.

Extropy menyarankan pengguna untuk mengantisipasi upaya phishing yang canggih. Data yang dicuri memungkinkan penyerang membangun kepercayaan palsu melalui komunikasi yang dipersonalisasi.

Kampanye Phishing MetaMask Menguras $107.000

Peneliti keamanan ZachXBT menandai operasi phishing canggih yang menargetkan pengguna MetaMask. Kampanye tersebut telah menguras lebih dari $107.000 dari ratusan dompet.

Korban menerima email profesional yang mengklaim upgrade wajib 2026. Pesan tersebut menggunakan template pemasaran yang sah dan menampilkan logo MetaMask yang dimodifikasi. Extropy menggambarkan desain rubah "topi pesta" sebagai meriah yang menenangkan.

Penipuan tersebut menghindari meminta seed phrase. Sebaliknya, ia meminta pengguna untuk menandatangani persetujuan kontrak. Ini mengizinkan penyerang memindahkan token tidak terbatas dari dompet korban.

Dengan menjaga pencurian individu di bawah $2.000, operasi ini menghindari peringatan besar. Extropy menekankan bahwa tanda tangan bisa sama berbahayanya dengan kunci yang bocor.

