Bagaimana Rencana Eksploitasi DxSale Senilai $7,3 Juta yang Direncanakan 269 Hari Mengekspos Bahaya Kontrak Zombi DeFi

Rencana Jangka Panjang: 269 Hari dalam Perencanaan

Yang membedakan peretasan ini dari pelanggaran oportunistik adalah bukti perencanaan jangka panjang yang ekstensif. Data on-chain mengungkapkan bahwa peretas telah meletakkan dasar hampir sembilan bulan sebelum dana dikuras.

• Agustus 2025: Kepemilikan kontrak loker warisan yang kritis dialihkan ke alamat yang kini dikendalikan oleh peretas .
• 28-29 Mei 2026: Sekitar 269 hari kemudian, pengurasan dana yang sebenarnya dieksekusi .

Pra-penempatan posisi ini sangat menunjukkan adanya pertimbangan yang matang, bukan sekadar kejahatan karena ada kesempatan. Analis on-chain dan firma keamanan seperti PeckShield serta SlowMist mencatat bahwa efisiensi serangan ini mengindikasikan pengetahuan internal yang mendalam tentang arsitektur kontrak DxSale yang spesifik dan usang .

Sejarah Peringatan yang Diremehkan

Eksploitasi tahun 2026 ini tidak datang tanpa tanda bahaya sebelumnya. Pada Juni 2025, firma keamanan blockchain Decurity mengungkapkan bug serius di kontrak pintar DxSale lainnya di BNB Chain, yang pada saat itu menempatkan setidaknya $5,2 juta dana pengguna dalam risiko. Atas temuan dan pelaporan kerentanan yang bertanggung jawab—yang bisa saja mengakibatkan kerugian jutaan dolar—Decurity dilaporkan hanya ditawari hadiah sebesar $500, jumlah yang sangat rendah hingga menjadi berita utama industri dan menuai kritik luas .

Meskipun bug spesifik itu kemudian ditambal, insiden tersebut mengekspos pola pengabaian infrastruktur keamanan yang tampaknya terus berlanjut, yang berpuncak pada pelanggaran yang jauh lebih merusak pada loker warisan setahun kemudian.

Mencuci Hasil Curian: Fragmentasi dan Pengaburan Jejak

Setelah menguasai token LP, peretas bergerak cepat untuk mengaburkan jejak dana curian. Alamat peretas utama, 0xC4574DDEF299e7E563971e200433e592EeaaFA69, mengambil pendekatan multi-langkah untuk mencuci aset tersebut .

1. Penukaran Token: Token LP yang dicuri segera ditukar menjadi BNB, mata uang asli BNB Chain, untuk mempersulit pelacakan on-chain .
2. Konsolidasi dan Pemisahan: Sekitar 2.958 BNB, bernilai sekitar $1,87 juta pada saat itu, ditransfer dari alamat utama ke dua dompet perantara .
3. Distribusi: Dana dari dompet-dompet tersebut kemudian disebar ke beberapa alamat setoran, sebuah teknik yang dirancang untuk lebih memecah jejak uang dan mempersulit upaya pemulihan . Laporan awal juga mencatat penggunaan layanan lintas rantai (cross-chain) seperti AnySwap dalam proses pencucian uang ini .

Gambaran Lebih Besar: Tahun 2026 yang Brutal bagi DeFi

Insiden DxSale bukanlah peristiwa terisolasi, melainkan bagian dari gelombang kejahatan kripto yang menghancurkan di tahun 2026. Tahun ini berada di jalur untuk menjadi salah satu yang terburuk dalam catatan sejarah keamanan on-chain.

• Q1 yang Menipu: Kuartal pertama tahun 2026 mencatat protokol keuangan terdesentralisasi (DeFi) kehilangan sekitar $168-169 juta di 34 kasus eksploitasi. Meskipun ini adalah penurunan 89% dari angka mengejutkan $1,58 miliar yang hilang pada Q1 2025—sebuah angka yang sangat dipengaruhi oleh peretasan Bybit senilai $1,4 miliar—para ahli keamanan memperingatkan bahwa ancaman masih jauh dari kata usai .
• April yang Memecahkan Rekor: Peringatan itu terbukti benar. April 2026 menjadi bulan dengan peretasan terbanyak dalam sejarah kripto, dengan lebih dari $606 juta dicuri dari protokol DeFi saja. Hal ini memicu eksodus masif senilai $13 miliar dalam total nilai terkunci (TVL) dari ekosistem DeFi dalam waktu 48 jam .
• Kerugian Tahun Berjalan yang Meningkat: Hingga akhir Mei 2026, total kerugian akibat peretasan dan eksploitasi kripto telah melampaui $1,1 miliar di 185 insiden. Eksploitasi DeFi dan jembatan lintas rantai menyumbang sekitar $816,9 juta dari total tersebut .
• Ancaman yang Disponsori Negara: Sebagian besar kerusakan disebabkan oleh kelompok peretas Korea Utara, yang bertanggung jawab atas 76% dari semua kerugian peretasan kripto hingga April 2026, mencuri sekitar $577 juta hanya dalam beberapa serangan besar .

Eksploitasi DxSale, meskipun bukan pelanggaran terbesar tahun ini, adalah contoh buku teks dari vektor ancaman yang berkembang. Seiring berkembangnya ruang DeFi, kuburan kontrak "zombi" yang tua, tidak diaudit, dan tidak terawat ikut bertambah. Kontrak-kontrak ini menyimpan kunci admin yang, jika dikompromikan atau, seperti dalam kasus ini, diam-diam dialihkan, menawarkan jalur langsung bagi peretas ke dana apa pun yang masih terkunci di dalamnya. Insiden ini adalah pengingat penting bahwa "likuiditas terkunci" hanya seaman kode dan kunci yang mengendalikan kuncian itu sendiri.