Jaringan Secret Kena Exploit $4,7 Juta Lewat Bug "Infinite Mint"

Dalam hitungan minggu terakhir, industri blockchain kembali dihebohkan oleh serangkaian serangan yang menargetkan protokol cross-chain. Salah satu yang paling mencolok adalah eksploitasi terhadap Secret Network, jaringan blockchain layer-1 yang fokus pada privasi dan dibangun di atas ekosistem Cosmos. Pada 10 Juni 2026, seorang aktor jahat memanfaatkan celah kritis bernama "infinite mint" pada kontrak pintar yang terhubung dengan layanan Axelar. Celah ini memungkinkan pencuri untuk mencetak token yang seharusnya di-backing oleh aset asli tanpa memiliki aset tersebut. Hasilnya, kerugian mencapai $4,67 juta—jumlah yang tidak sedikit untuk sebuah jaringan yang selama ini dikenal dengan pendekatan privasi dan keamanan.

Yang membuat eksploitasi ini semakin berbahaya adalah durasi waktu yang dimiliki pelaku sebelum ketahuan. Selama hampir satu minggu, dari 10 hingga 17 Juni, pelaku berhasil menyembunyikan jejaknya. Baru ketika terjadi transaksi lintas rantai yang gagal akibat "dana tidak mencukupi" di akun yang dikuras, tim peneliti blockchain Common Prefix mendeteksi aktivitas mencurigakan tersebut. Investigasi lebih lanjut mengungkap bahwa kontrak pintar yang digunakan untuk meneruskan aset dari Axelar ke Secret Network tidak memverifikasi asal-usul transfer masuk. Akibatnya, pelaku bisa memalsukan deposit melalui saluran yang mereka kendalikan, lalu mencetak token saToken (seperti saUSDT, saUSDC, saDAI, dan lainnya) tanpa ada aset riil yang menopangnya. Ketika token palsu ini ditebus kembali ke dalam saluran resmi, dana asli yang seharusnya di-escrow di Axelar pun terkuras habis.

Bagaimana Bug "Infinite Mint" Bisa Terjadi?

Kontrak pintar yang menjadi sasaran eksploitasi ini berfungsi sebagai jembatan antara jaringan Axelar dan Secret Network. Secara desain, kontrak tersebut seharusnya memastikan bahwa setiap token saToken yang dicetak di Secret Network memiliki aset yang setara di jaringan asal. Namun, celah keamanan muncul ketika kontrak tidak melakukan pemeriksaan yang ketat terhadap sumber transfer masuk. Pelaku memanfaatkan mekanisme ini dengan melakukan deposit palsu melalui saluran yang mereka kendalikan. Karena kontrak pintar tidak memvalidasi apakah deposit berasal dari sumber yang sah, ia langsung mencetak token saToken tanpa memeriksa apakah ada aset yang benar-benar didepositkan di sisi Axelar.

Setelah token palsu berhasil dicetak, pelaku kemudian menukarnya kembali ke aset asli melalui mekanisme penukaran resmi yang ada di Secret Network. Proses ini memungkinkan mereka untuk menarik aset riil yang semula di-escrow di Axelar tanpa memiliki kewajiban untuk mempertahankan jaminan. Efek domino pun terjadi: dana yang seharusnya aman di protokol cross-chain kini hilang, dan kontrak pintar yang terpengaruh kini memiliki token yang tidak memiliki backing sama sekali. Laporan dari Common Prefix menekankan bahwa celah ini bukan sekadar kesalahan pemrograman biasa, melainkan kegagalan dalam desain keamanan yang kritis—khususnya dalam sistem yang mengandalkan interoperabilitas lintas jaringan.

Dampak terhadap Ekosistem Secret Network dan Axelar

Exploitasi ini tidak hanya merugikan dana pengguna yang memegang token saToken di Secret Network, tetapi juga menimpa reputasi kedua jaringan yang terlibat. Secret Network, yang selama ini dikenal sebagai platform yang mengutamakan privasi dan keamanan melalui fitur enkripsi data on-chain, kini menghadapi pertanyaan serius mengenai ketahanan sistemnya. Sementara itu, Axelar, yang berfungsi sebagai jembatan lintas rantai terdesentralisasi, juga ikut terkena imbas karena kontrak pintar yang mereka andalkan ternyata memiliki celah kritis. Meskipun Axelar sendiri tidak secara langsung diserang, kontrak pintar yang mereka gunakan untuk berinteraksi dengan Secret Network menjadi titik lemah yang dieksploitasi.

Pengumuman resmi dari Secret Network pada 22 Juni 2025 memperingatkan pengguna yang memegang token saToken di jaringan mereka untuk segera memeriksa status dana mereka. Pesan tersebut menyiratkan bahwa dana pengguna mungkin telah hilang akibat eksploitasi ini. Sementara itu, Axelar belum merilis pernyataan resmi mengenai tanggung jawab mereka dalam insiden ini, tetapi para ahli keamanan blockchain mendesak kedua pihak untuk melakukan audit menyeluruh terhadap semua kontrak pintar yang terhubung dengan sistem cross-chain mereka. Kasus ini menjadi pengingat keras bahwa dalam dunia blockchain, interoperabilitas yang kompleks juga membawa risiko keamanan yang setara kompleksitasnya.

Pola Serangan Cross-Chain yang Makin Marak

Eksploitasi terhadap Secret Network bukanlah insiden tunggal dalam gelombang serangan terhadap protokol cross-chain yang terjadi sepanjang Juni 2026. Menurut data dari DeFiLlama, setidaknya ada 22 serangan serupa yang telah dilaporkan pada bulan tersebut. Dua serangan terbesar yang tercatat sebelum Secret Network adalah eksploitasi terhadap Humanity Protocol dan Syscoin Bridge, yang masing-masing merugikan $32 juta dan $8 juta. Pola ini menunjukkan bahwa sistem cross-chain, meskipun dirancang untuk meningkatkan interoperabilitas dan efisiensi, kini menjadi sasaran empuk bagi para penyerang karena kompleksitasnya yang tinggi dan potensi celah keamanan yang tersembunyi.

Salah satu faktor yang memperparah situasi adalah ketergantungan yang tinggi terhadap kontrak pintar yang saling terhubung. Setiap kontrak pintar yang berfungsi sebagai jembatan lintas rantai memiliki potensi untuk menjadi titik lemah jika tidak diaudit dengan ketat. Selain itu, proses pelaporan dan deteksi eksploitasi yang lambat juga menjadi masalah serius. Dalam kasus Secret Network, eksploitasi baru terdeteksi setelah satu minggu, padahal kerugian sudah terjadi sejak hari pertama. Hal ini menunjukkan perlunya sistem pemantauan real-time dan mekanisme tanggapan cepat yang dapat mendeteksi aktivitas mencurigakan sebelum kerugian semakin meluas.

Lalu Lintas Dana yang Rumit: Dari Secret Network ke Bursa

Setelah berhasil mencetak token tanpa backing, pelaku tidak langsung menarik dana tersebut dalam bentuk aset kripto yang mudah dikenali. Sebaliknya, mereka melakukan serangkaian langkah untuk menyamarkan jejak. Pertama, token yang berhasil dieksploitasi ditukar ke dalam bentuk Ether (ETH) di jaringan Ethereum. Proses pencucian ini bertujuan untuk menghilangkan jejak asal-usul token yang ilegal. Setelah dana dalam bentuk ETH, pelaku kemudian membagi hasil jarahan ke dalam sekitar 30 dompet berbeda. Langkah ini dilakukan untuk mengurangi risiko deteksi dan mempersulit upaya pelacakan oleh pihak berwenang atau peneliti blockchain.

Menurut laporan Common Prefix, dana hasil eksploitasi akhirnya disimpan di beberapa bursa besar, termasuk KuCoin, ChangeNow, dan HitBTC. Penyimpanan dana di bursa ini memungkinkan pelaku untuk dengan mudah menukar aset kripto mereka ke dalam bentuk uang fiat atau stablecoin yang lebih mudah digunakan. Meskipun identitas pelaku belum terungkap, aktivitas ini menunjukkan bahwa pelaku memiliki pengetahuan mendalam tentang cara kerja sistem keuangan kripto serta teknik pencucian uang yang canggih. Kasus ini juga menjadi bukti bahwa bursa kripto perlu meningkatkan sistem deteksi pencucian uang dan kerja sama dengan pihak berwenang untuk mencegah dana hasil kejahatan mengalir ke sistem keuangan yang sah.

Langkah-Langkah Keamanan yang Harus Diambil Pengguna

Bagi pengguna yang memegang token saToken di Secret Network, eksploitasi ini menjadi pengingat penting untuk selalu waspada terhadap risiko yang melekat pada protokol cross-chain. Meskipun Secret Network telah mengeluarkan peringatan resmi, pengguna disarankan untuk segera memeriksa saldo dan riwayat transaksi mereka. Jika ditemukan indikasi dana hilang atau tidak sesuai, pengguna harus segera menghubungi dukungan pelanggan atau tim keamanan Secret Network untuk mendapatkan klarifikasi lebih lanjut.

Selain itu, pengguna juga perlu mempertimbangkan untuk memindahkan aset mereka ke dompet pribadi yang lebih aman jika mereka tidak lagi memerlukan akses aktif ke token tersebut. Dompet perangkat keras atau dompet multi-sig dapat menjadi pilihan yang lebih aman dibandingkan dengan menyimpan aset di bursa atau protokol yang rentan terhadap eksploitasi. Pengguna juga disarankan untuk selalu memperbarui perangkat lunak dompet mereka dan menggunakan fitur keamanan tambahan seperti autentikasi dua faktor (2FA) untuk mencegah akses tidak sah.

Apa yang Bisa Dilakukan oleh Protokol untuk Mencegah Eksploitasi di Masa Depan?

Insiden ini menekankan perlunya protokol blockchain untuk meningkatkan standar keamanan mereka, terutama dalam hal desain kontrak pintar dan mekanisme interoperabilitas. Salah satu langkah yang dapat diambil adalah dengan melakukan audit keamanan independen secara berkala terhadap semua kontrak pintar yang digunakan untuk menghubungkan jaringan. Audit ini harus dilakukan oleh pihak ketiga yang memiliki reputasi baik dalam bidang keamanan blockchain. Selain itu, protokol juga perlu mengimplementasikan sistem pemantauan real-time yang dapat mendeteksi aktivitas mencurigakan secara otomatis.

Selain audit dan pemantauan, protokol juga perlu meningkatkan transparansi dengan memberikan informasi yang lebih jelas kepada pengguna mengenai status dana mereka. Misalnya, protokol dapat menyediakan dashboard publik yang menunjukkan jumlah aset yang di-escrow dan token yang telah dicetak, sehingga pengguna dapat dengan mudah memverifikasi apakah dana mereka benar-benar aman. Protokol juga perlu mempertimbangkan untuk menerapkan mekanisme asuransi atau dana cadangan yang dapat digunakan untuk mengganti kerugian pengguna jika terjadi eksploitasi.

Masa Depan Interoperabilitas Blockchain yang Lebih Aman

Eksploitasi terhadap Secret Network dan protokol cross-chain lainnya menunjukkan bahwa meskipun teknologi blockchain terus berkembang, risiko keamanan tetap menjadi tantangan besar. Interoperabilitas yang memungkinkan berbagai jaringan untuk saling berkomunikasi dan berbagi data juga membawa risiko baru yang perlu dikelola dengan hati-hati. Untuk itu, kolaborasi antara pengembang, peneliti keamanan, dan komunitas blockchain menjadi sangat penting. Dengan saling berbagi informasi mengenai celah keamanan dan praktik terbaik, industri dapat membangun sistem yang lebih tangguh terhadap serangan.

Selain itu, regulator dan bursa kripto juga memiliki peran penting dalam mencegah dana hasil kejahatan mengalir ke sistem keuangan yang sah. Bursa perlu meningkatkan sistem deteksi pencucian uang dan bekerja sama dengan pihak berwenang untuk melacak dan membekukan dana hasil eksploitasi. Sementara itu, regulator perlu menetapkan standar keamanan yang lebih ketat bagi protokol cross-chain dan memastikan bahwa mereka mematuhi peraturan yang berlaku.

Kesimpulan: Pelajaran dari Eksploitasi yang Mahal

Eksploitasi senilai $4,7 juta terhadap Secret Network melalui bug "infinite mint" menjadi bukti nyata bahwa kompleksitas teknologi tidak selalu sebanding dengan keamanan. Meskipun Secret Network dan Axelar memiliki reputasi yang solid, celah keamanan yang tidak terdeteksi selama hampir satu minggu telah menyebabkan kerugian yang signifikan. Kasus ini mengingatkan kita bahwa dalam dunia blockchain, tidak ada sistem yang benar-benar kebal dari serangan. Oleh karena itu, kewaspadaan, audit berkala, dan transparansi yang lebih besar harus menjadi prioritas utama bagi semua pihak yang terlibat.

Bagi pengguna, eksploitasi ini menjadi pengingat untuk selalu memeriksa keamanan aset mereka dan tidak bergantung sepenuhnya pada protokol atau bursa tertentu. Sementara bagi protokol, insiden ini harus dijadikan momentum untuk meningkatkan standar keamanan dan memastikan bahwa sistem mereka benar-benar siap menghadapi ancaman di masa depan. Dengan pembelajaran yang tepat, industri blockchain dapat terus berkembang tanpa meninggalkan celah keamanan yang dapat dimanfaatkan oleh para penyerang.