13 April 2026, perusahaan keamanan blockchain CertiK mendeteksi eksploitasi kerentanan yang menargetkan kontrak gateway lintas-rantai Hyperbridge. Penyerang memalsukan pesan lintas-rantai untuk memanipulasi hak admin pada kontrak token Polkadot (DOT) bridged di Ethereum, secara ilegal mencetak 1 miliar DOT bridged dan segera menjualnya. Meskipun nilai nominalnya melebihi $1 miliar, penyerang hanya memperoleh keuntungan sekitar 108,2 ETH, atau sekitar $237.000. "Perampokan" ini menguap akibat likuiditas yang tidak memadai, namun insiden ini kembali menyoroti kelemahan keamanan jembatan lintas-rantai yang telah lama menjadi perhatian industri.
Bagaimana Kerentanan Replay Bukti MMR Terpicu
Apa akar teknis dari serangan ini? BlockSec Phalcon mengklasifikasikan kerentanan ini sebagai eksploitasi replay bukti MMR (Merkle Mountain Range). Kontrak HandlerV1 milik Hyperbridge, dalam mekanisme perlindungan replay-nya, hanya memeriksa apakah hash dari komitmen yang diminta sudah pernah digunakan sebelumnya, namun proses verifikasi bukti gagal mengikat payload permintaan yang diajukan dengan bukti yang diverifikasi.
Celah logika ini memungkinkan penyerang untuk memutar ulang bukti valid yang sebelumnya diterima, memasangkannya dengan permintaan baru yang berbahaya, dan mengeksekusi jalur TokenGateway.onAccept() untuk melakukan operasi ChangeAssetAdmin. Hal ini mentransfer hak admin dan pencetakan token dari kontrak DOT wrapped di Ethereum ke alamat yang dikendalikan penyerang. Pembaruan dari Hyperbridge kemudian mengonfirmasi bahwa penyebab utama terletak pada fungsi VerifyProof() yang tidak melakukan validasi input untuk leaf_index < leafCount, sehingga memungkinkan penyerang memalsukan bukti Merkle. Secara fundamental, ini adalah kombinasi klasik dari "replay attack + privilege escalation"—penyerang tidak membobol primitif kriptografi, melainkan mengeksploitasi logika verifikasi yang terfragmentasi di berbagai modul.
Mengapa 1 Miliar DOT Hanya Berbuah $237.000
Data paling ironis dari serangan ini adalah kontras mencolok antara 1 miliar token dan $237.000. Menurut Lookonchain, sebelum aksi jual, DOT bridged dihargai sekitar $1,22, secara teoretis menawarkan potensi arbitrase lebih dari $1,2 miliar.
Namun, DOT bridged di Ethereum memiliki likuiditas on-chain yang sangat terbatas. Penyerang menjual seluruh 1 miliar token melalui Odos Router dan Uniswap V4 liquidity pools, yang langsung menjatuhkan harga dari $1,22 menjadi hampir nol. Jumlah token yang dicetak adalah 2.805 kali dari suplai beredar yang dilaporkan, yaitu sekitar 356.000 token. Lonjakan suplai ini membanjiri pool likuiditas yang sudah dangkal, menyebabkan slippage parah dan membuat sebagian besar token baru tidak bernilai. Penyerang bisa mencetak token, tetapi tidak bisa menciptakan pembeli atau likuiditas.
Batas Keamanan antara Aset Bridged dan Native
Fakta penting yang perlu diluruskan: target dari serangan ini adalah kontrak token DOT bridged yang dideploy di Ethereum, bukan rantai utama Polkadot native. Tim resmi Polkadot menegaskan bahwa kerentanan ini hanya berdampak pada DOT yang dibridged melalui Hyperbridge ke Ethereum; DOT native dan aset lain dalam ekosistem Polkadot tidak terdampak langsung. Hyperbridge sendiri adalah gateway lintas-rantai pihak ketiga yang dikembangkan oleh Polytope Labs, bukan bagian dari infrastruktur inti resmi Polkadot.
Pembedaan ini menyoroti paradoks utama dalam keamanan jembatan lintas-rantai: smart contract untuk aset bridged dideploy secara independen di rantai target, dan standar audit serta mekanisme pemantauannya bisa berbeda dari rantai native. Penyerang tidak perlu menyentuh layer konsensus rantai utama; mengeksploitasi satu kerentanan pada kontrak bridge dapat menyebabkan kerusakan luas di rantai target. Pengguna yang memegang aset bridged menghadapi risiko tidak hanya dari rantai utama, tetapi juga dari keamanan kontrak infrastruktur bridge itu sendiri.
Serangan Bridge Lintas-Rantai: Tren Tahun 2026
Serangan Hyperbridge bukanlah insiden tunggal di tahun 2026. Berdasarkan data industri yang lebih luas, total kerugian akibat peretasan DeFi pada kuartal 1 tahun 2026 mencapai sekitar $168 juta. Meski ini turun tajam dari sekitar $1,58 miliar pada kuartal 1 tahun 2025, risiko struktural tetap ada. Pada Februari 2026, bridge CrossCurve kehilangan sekitar $3 juta akibat kerentanan smart contract; bridge ioTube menderita kerugian lebih dari $4,4 juta setelah kunci privat pemilik kontrak validator sisi Ethereum bocor. Secara historis, jembatan lintas-rantai menyumbang lebih dari 60% insiden keamanan DeFi besar, dan tetap menjadi salah satu target paling menguntungkan bagi peretas.
Perusahaan riset keamanan Sherlock mencatat dalam laporan keamanan lintas-rantai awal 2026 bahwa pola serangan lintas-rantai saat ini sangat dapat diprediksi: asumsi kepercayaan dikodekan sebagai jaminan deterministik, autentikasi gagal di batas pesan, dan sistem memberikan semua hak melalui satu jalur eksekusi. Insiden Hyperbridge sangat sesuai dengan deskripsi ini—kontrak mengasumsikan rantai keamanan yang mengikat verifikasi bukti MMR dengan permintaan tetap utuh, tetapi celah logika dalam kode membuat asumsi ini tidak valid.
Apakah Likuiditas Rendah Menjadi "Perisai" atau Justru Risiko Lebih Besar?
Dalam serangan ini, likuiditas rendah secara objektif bertindak sebagai "perisai," membatasi keuntungan nyata penyerang hanya $237.000. Jika kerentanan yang sama terjadi pada aset bridged yang lebih likuid atau bernilai tinggi, kerugian bisa berlipat ganda. Paradoks "kerugian terbatas namun risiko sangat tinggi" ini menjadi salah satu isu paling rumit dalam keamanan lintas-rantai—industri bisa terlena oleh kerugian kecil dalam satu insiden dan meremehkan ancaman struktural dari kerentanan itu sendiri.
Di sisi lain, minimnya likuiditas untuk aset bridged menjadi perhatian bagi kesehatan pasar. DOT bridged di Ethereum hanya memiliki suplai beredar sekitar 356.000 token dan pool likuiditas yang sangat dangkal, artinya tanpa serangan pun, transaksi besar akan menyebabkan slippage parah dan mengganggu penggunaan aset secara normal. Meski likuiditas rendah "menyelamatkan Polkadot" dalam insiden ini, hal tersebut justru menampakkan kerentanan mendalam pada lapisan interoperabilitas lintas-rantai—aset bridged kekurangan kedalaman pasar dan redundansi keamanan yang memadai.
Apa Kontradiksi Inti dalam Keamanan Lintas-Rantai?
Akar permasalahan keamanan jembatan lintas-rantai terletak pada kontradiksi fundamental "migrasi kepercayaan". Jembatan lintas-rantai pada dasarnya adalah "adapter keamanan"—ia menerjemahkan finalitas, keanggotaan, dan informasi otorisasi dari satu rantai menjadi instruksi tepercaya untuk lingkungan eksekusi rantai lain. Setiap celah logika dalam proses translasi ini dapat dieksploitasi oleh penyerang.
Industri menghadapi tantangan multifaset: kode bridge lintas-rantai jauh lebih kompleks dibandingkan smart contract satu rantai, melibatkan koordinasi antara oracle, relayer, node validator, dan komponen lainnya. Banyak proyek terburu-buru meluncurkan produk dengan pola pikir "launch fast" alih-alih "memahami sistem secara menyeluruh", sehingga risiko keamanan tertanam dalam keputusan teknis. Selain itu, metode keamanan yang dapat dibuktikan secara matematis seperti verifikasi formal belum menjadi standar industri, dan kedalaman serta frekuensi audit pihak ketiga sangat bervariasi.
Ke Mana Arah Keamanan Lintas-Rantai Selanjutnya?
Beberapa pelajaran arah yang jelas muncul dari insiden ini. Pertama, mekanisme verifikasi harus mencapai pengikatan end-to-end antara permintaan dan bukti, menghilangkan celah logika. Kedua, protokol lintas-rantai harus mengadopsi prinsip minimal privilege dan verifikasi multi-faktor sebagai fitur desain dasar, bukan tambahan belakangan. Ketiga, industri perlu model kepercayaan yang lebih transparan—pengguna harus memahami dengan jelas asumsi keamanan dan batas risiko saat menggunakan bridge lintas-rantai. Terakhir, audit keamanan harus berkembang menuju verifikasi formal dan pemantauan berkelanjutan, naik kelas dari "pemeriksaan satu kali" menjadi "perlindungan sepanjang siklus hidup".
Jembatan lintas-rantai adalah infrastruktur krusial yang menghubungkan ekosistem multi-chain, dan peningkatan keamanannya akan langsung membentuk masa depan interoperabilitas Web3. Nilai sejati dari insiden Hyperbridge bukan pada kerugian $237.000, melainkan demonstrasi yang nyaris absurd atas satu kebenaran penting dalam keamanan lintas-rantai: daya rusak sebuah kerentanan tidak ditentukan oleh ambisi penyerang, melainkan seberapa serius desain sistem menghormati asumsi keamanannya.
Ringkasan
Kerentanan replay bukti MMR pada bridge lintas-rantai Hyperbridge mengungkap celah logika mendasar dalam verifikasi protokol lintas-rantai—tidak adanya pengikatan antara permintaan dan bukti. Dengan mengeksploitasi kelemahan ini, penyerang mencetak 1 miliar DOT bridged, namun hanya berhasil mencairkan sekitar $237.000 karena kekurangan likuiditas parah di Ethereum. Peristiwa ini tidak berdampak pada rantai utama Polkadot, tetapi menyoroti rapuhnya struktur aset bridged baik dari sisi audit keamanan maupun kedalaman likuiditas. Serangan bridge lintas-rantai terus berlanjut sepanjang 2026, dan industri harus secara sistematis meningkatkan standar keamanan pada tiga area: mekanisme verifikasi yang terikat, minimisasi manajemen hak, dan verifikasi keamanan formal.
Pertanyaan yang Sering Diajukan
Q: Apakah 1 miliar DOT yang dicetak dalam serangan Hyperbridge akan memengaruhi total suplai DOT native Polkadot?
A: Tidak. Token yang dicetak adalah DOT bridged yang dideploy di Ethereum oleh Hyperbridge, merupakan aset wrapped—bukan DOT native di mainnet Polkadot. Total suplai dan keamanan DOT native Polkadot tetap sepenuhnya tidak terpengaruh.
Q: Mengapa penyerang hanya memperoleh $237.000, bukan nilai nominal 1 miliar DOT?
A: Penyebab utamanya adalah likuiditas on-chain DOT bridged di Ethereum yang sangat terbatas. Ketika penyerang menjual 1 miliar token, slippage parah menjatuhkan harga dari $1,22 menjadi hampir nol, sehingga sebagian besar token baru tidak dapat diuangkan.
Q: Apa itu kerentanan replay bukti MMR?
A: MMR (Merkle Mountain Range) adalah varian pohon Merkle yang umum digunakan untuk verifikasi light client blockchain. Masalah inti pada insiden ini adalah kontrak HandlerV1 Hyperbridge tidak mengikat bukti dan permintaan saat verifikasi, sehingga penyerang dapat memutar ulang bukti valid historis dan memasangkannya dengan permintaan baru palsu untuk melewati validasi dan memperoleh hak admin.
Q: Mengapa jembatan lintas-rantai sering menjadi target serangan?
A: Jembatan lintas-rantai memegang hak pengelolaan atas kontrak token. Jika mekanisme verifikasi gagal, penyerang dapat memperoleh hak pencetakan tak terbatas atau pencurian aset. Bridge melibatkan smart contract di banyak rantai dan koordinasi dengan komponen off-chain, sehingga memperluas permukaan serangan dibandingkan protokol satu rantai, menjadikannya target utama bagi peretas.
Q: Bagaimana sebaiknya pengguna yang memegang DOT bridged menilai risiko mereka?
A: Pengguna aset bridged harus menyadari bahwa risiko tidak hanya berasal dari rantai utama, tetapi juga dari keamanan kontrak infrastruktur bridge. Disarankan untuk memahami riwayat audit protokol bridge, volume aset yang dikunci, dan insiden keamanan sebelumnya sebelum berpartisipasi dalam penyediaan likuiditas bridge atau memegang aset bridged.
