Koin privasi Aztec kontrak pintar diretas dan dicuri 2,19 juta dolar AS! SlowMist mengungkap celah "penghindaran penyelesaian"

Zero-Knowledge Proofs (ZK) jaringan privasi kembali mengalami insiden keamanan siber. Menurut laporan dari tim keamanan blockchain terkenal, SlowMist, sebuah kontrak Aztec Connect RollupProcessor yang sudah tidak digunakan lagi baru-baru ini diserang oleh peretas. Penyerang berhasil memanfaatkan celah "penghindaran batas penyelesaian (settlement boundary bypass)" untuk menciptakan ketidaksesuaian status, dan dari sana mencuri aset senilai hingga 2,19 juta dolar AS dari protokol tersebut.
（Latar belakang: Peretas membobol 1000 ETH yang dikunci sejak ICO 9 tahun lalu, satu langkah membuka kembali kontrak cerdas dan menarik seluruh dana）
（Keterangan tambahan: Anthropic mengumumkan akan membuka model super Claude Mythos secara penuh dalam beberapa minggu! AI tingkat peretas segera diluncurkan）

Salah satu lembaga keamanan blockchain terbesar di dunia, SlowMist, secara resmi merilis laporan analisis teknis penting hari ini (15) waktu Taipei. Laporan tersebut menunjukkan bahwa sebuah kontrak cerdas Aztec Connect RollupProcessor yang sudah tidak digunakan lagi baru-baru ini disusupi oleh peretas. Melalui operasi yang cermat, peretas berhasil melewati batas penyelesaian sistem, menyebabkan ketidaksesuaian status yang serius antara lapisan pertama (L1) dan lapisan kedua (L2), dan dengan demikian mencuri aset kripto bernilai sekitar 2,19 juta dolar AS dari protokol tersebut.

✍️ Analisis Teknis Diterbitkan: Analisis Pencurian Aset sebesar $2,19J dari Aztec Connect

Sebuah kontrak Aztec Connect RollupProcessor yang sudah tidak digunakan lagi dieksploitasi melalui celah penghindaran batas penyelesaian, memungkinkan penyerang menciptakan ketidaksesuaian status L1/L2 dan menguras… pic.twitter.com/w6SkUQXkhm

— SlowMist (@SlowMist_Team) 15 Juni 2026

Penyalahgunaan parameter yang tidak cocok! Membuat "ketidaksesuaian status jalur ganda (dual-path state divergence)" L1/L2

Laporan terbaru dari tim keamanan SlowMist secara lengkap merekonstruksi proses eksekusi serangan atomik ini. Penyebab utama celah tersebut adalah karena penyerang secara sengaja menyalahgunakan ketidakcocokan antara parameter penting $numRealTxs$ dan $decoded_slots$ dalam sistem. Melalui celah ini, peretas dapat mengirimkan bukti deposit palsu melalui ZK (zero-knowledge proof), sementara dalam proses verifikasi penyelesaian di L1, deposit tersebut secara cerdik "disembunyikan", sehingga berhasil menciptakan "model ketidaksesuaian status jalur ganda (Dual-path state divergence model)", dan dengan sukses menarik dana dari protokol.

Ahli keamanan mengkritik: Batas penyelesaian harus ketat sesuai ZK

Laporan teknis ini memberi peringatan keras kepada tim pengembang Rollup di seluruh dunia. SlowMist menegaskan bahwa kasus ini menyoroti prinsip keamanan penting dari sistem Rollup: Batas penyelesaian (settlement boundaries) harus selalu dan secara ketat sesuai dengan janji input publik (public inputs) dari ZK (commitment scope). Jika tidak, bahkan bukti matematika yang paling kuat pun tidak akan mampu mencegah celah tersebut.

Insiden keamanan serius ini juga memicu diskusi hangat di komunitas keamanan blockchain. Beberapa pakar industri kemudian mengeluhkan di media sosial, menyatakan "Bukti ZK sama sekali tidak bisa menyelamatkan arsitektur yang buruk." Mereka mengungkapkan bahwa platform perlindungan kripto terkenal, CoinStats, sebelumnya sudah menandai dan memperingatkan adanya risiko keamanan pada batas penyelesaian tersebut, namun tidak diindahkan. Saat ini, aliran dana di blockchain terkait sedang terus dilacak oleh sistem anti pencucian uang SlowMist.