Jembatan Antar-Blockchain Gravity Bridge Bobol, Rp87 Miliar Raib karena Kunci Diduga Bocor

Rincian aset yang dicuri menggambarkan situasi yang jelas:

• ~$4,3 juta dalam USDC
• 274 ETH (≈$553.000)
• $434.000 dalam USDT
• Token PAYG senilai ~$64.000

Hingga kini, pihak resmi Gravity Bridge belum mengeluarkan pernyataan formal terkait insiden ini .

Jejak pencucian uang: ChangeNOW, Binance, dan timbunan yang ditahan

Alih-alih langsung mencairkan semuanya, penyerang mengambil pendekatan bertahap. PeckShield melacak sebagian dana curian bergerak melalui ChangeNOW, layanan swap non-kustodial, dan Binance, bursa kripto terpusat terbesar di dunia .

Namun, detail yang paling menarik bagi para detektif on-chain adalah apa yang tidak dipindahkan oleh peretas. Hingga pemantauan terakhir, dompet penyerang masih menyimpan 2.102 ETH, senilai sekitar $4,23 juta . Ini menunjukkan bahwa pengeksploitasi menukar stablecoin dan token curian menjadi ETH tetapi berhenti sebelum mencairkan sepenuhnya—mungkin waspada akan memicu pembekuan dana oleh bursa lain atau menarik perhatian penegak hukum.

Saldo yang masih ditahan penyerang ini menjadi jejak on-chain yang sangat jelas. Peneliti keamanan dan firma analitik blockchain terus melacak dompet tersebut, dan setiap pergerakan di masa depan kemungkinan akan memicu peringatan di seluruh platform kepatuhan utama .

Apa itu Gravity Bridge dan mengapa ini penting

Gravity Bridge adalah blockchain terdesentralisasi dan trustless yang dibangun untuk menghubungkan ekosistem Ethereum dan Cosmos melalui protokol Inter-Blockchain Communication (IBC). Ini memungkinkan pengguna untuk mentransfer aset ERC-20 seperti USDC, DAI, dan WETH ke alam semesta Cosmos dan sebaliknya, tanpa bergantung pada kustodian terpusat .

Pada pertengahan 2026, Gravity Bridge telah mengakumulasi lebih dari $50 miliar volume aset yang dijembatani dan beroperasi dengan lebih dari 100 validator untuk finalitas penyelesaian transaksi . Jembatan ini dirancang untuk akses netral dan tanpa izin, dengan tata kelola yang tersebar di antara banyak pemangku kepentingan. Sebelum eksploitasi 30 Mei, Total Value Locked (TVL)-nya berada di sekitar $11,5 juta, menurut pelacakan on-chain yang dikutip dalam liputan insiden ini .

Pembobolan ini menyingkap ketegangan mendasar dalam desain jembatan. Arsitektur Gravity Bridge memang terdesentralisasi pada tingkat tata kelola dan validator, tetapi penggunaan kunci penandatanganan istimewa untuk mengotorisasi penarikan di sisi Ethereum memperkenalkan titik kepercayaan yang terpusat. Ketika kunci itu dilaporkan bocor, penyerang bisa menguras dana tanpa harus mengalahkan model keamanan jembatan yang lebih luas .

Bulan yang brutal untuk jembatan antar-blockchain

Eksploitasi Gravity Bridge bukanlah insiden yang terisolasi. Pada pertengahan Mei 2026, PeckShield telah mencatat delapan peretasan besar jembatan cross-chain dengan total $328,6 juta aset yang dicuri sepanjang 2026 . Daftarnya meliputi:

Gravity Bridge menjadi tambahan kesembilan yang besar dalam daftar suram ini, kemungkinan mendorong total kerugian tahun 2026 melampaui $330 juta sebelum bulan Juni. Frekuensi dan skala insiden ini telah mengangkat keamanan jembatan sebagai salah satu masalah paling mendesak di industri .

Manajemen kunci terpusat: tumit Achilles yang berulang

Jika ada benang merah yang menyatukan eksploitasi ini, itu bukanlah kualitas kode, melainkan arsitektur manajemen kuncinya.

Insiden Kelp/LayerZero pada bulan April saja menyebabkan kerugian $292 juta, dan seperti kejadian di Gravity Bridge, insiden ini menimbulkan pertanyaan tentang mekanisme otorisasi, bukan sekadar bug teknis. Ketika keamanan jembatan bergantung pada sekumpulan kecil kunci penandatangan—meskipun kunci itu dipegang oleh pihak yang terpercaya—satu kunci yang dikompromikan dapat menjadi kunci keramat bagi penyerang .

Eksploitasi Gravity Bridge memperkuat argumen yang telah lama disuarakan para peneliti keamanan: konsensus terdesentralisasi di satu lapisan tumpukan teknologi tidak dapat mengompensasi manajemen kunci terpusat di lapisan lainnya. Dompet Multi-Party Computation (MPC), skema threshold signing, dan Hardware Security Module (HSM) telah diusulkan sebagai mitigasi, tetapi adopsinya masih belum merata di lanskap jembatan.

Insiden ini juga menyoroti realitas pragmatis bagi para investigator. Karena penyerang menukar stablecoin curian menjadi ETH dan meninggalkan sebagian besarnya di dompet yang dapat dilacak, pembobolan ini menjadi studi kasus langsung untuk pemulihan aset dan pelacakan hukum. Apakah ini akan mengarah pada pengembalian dana, atau sekadar alamat lain yang ditambahkan ke daftar hitam on-chain yang tak berujung, masih harus dilihat.