Persetujuan token Ethereum lama dieksploitasi, memungkinkan penyerang menguras $13,3 juta dari dompet dalam hitungan detik setelah menerima dana.
Sebuah dompet Ethereum kehilangan sekitar $13,3 juta dalam hitungan detik setelah persetujuan token yang sudah lama dilupakan diaktifkan.
Dana tersebut tiba melalui transaksi abstraksi akun, dan penyerang bertindak segera. Data blockchain menunjukkan dompet tersebut tanpa sadar memberikan hak pengeluaran beberapa minggu sebelumnya.
Setelah transfer masuk, persetujuan tersebut memungkinkan akses penuh tanpa konfirmasi lebih lanjut. Insiden ini menunjukkan bagaimana izin yang tidak aktif dapat tetap aktif dan digunakan tanpa peringatan.
Dompet Menerima Dana dan Dihabiskan dengan Cepat
Dompet korban, yang diidentifikasi sebagai 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, menerima sekitar $13,3 juta dalam satu transaksi.
Penyerang mengeksekusi transfer menggunakan mekanisme abstraksi akun yang dirancang untuk menyederhanakan operasi dompet.
Selain itu, catatan blockchain menunjukkan dana tiba dan dihapus oleh penyerang dalam hitungan detik. Akibatnya, waktu yang sangat cepat ini tidak memberi peluang untuk intervensi manual atau tindakan pertahanan.
Kecepatan pengurasan ini menunjukkan bahwa penyerang tidak memerlukan izin baru. Sebaliknya, penyerang sudah memiliki akses sebelum transfer terjadi.
Selain itu, pelacak keamanan mengonfirmasi bahwa tidak ada transaksi persetujuan baru yang terjadi selama insiden. Ini menyingkirkan serangan phishing umum atau berbasis tanda tangan.
Penyidik kemudian meninjau aktivitas onchain historis yang terkait dengan dompet tersebut. Fokus mereka beralih ke persetujuan token lama yang belum pernah dicabut.
Tinjauan ini mengungkapkan persetujuan sebelumnya yang masih memungkinkan pengeluaran pihak ketiga. Izin yang tidak aktif ini menjadi titik masuk untuk eksploitasi.
Persetujuan Lama Memungkinkan Eksploitasi
Penyidik melacak akar penyebabnya ke transaksi persetujuan yang dilakukan pada 1 Januari 2026. Panggilan tersebut memberikan hak pengeluaran ke alamat 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
Pada saat itu, persetujuan tersebut tidak menimbulkan kekhawatiran publik. Izin tersebut tetap aktif dan tidak dicabut.
Persetujuan lama ini baru saja menelan biaya $13,3M.
Alamat korban 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD menerima ~$13,3M melalui transaksi abstraksi akun dan dikuras dalam hitungan detik.
Penyebab utama kembali ke panggilan approve() yang dilakukan pada 1 Jan 2026, yang memberikan hak pengeluaran… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 Januari 2026
Alamat penyerang, 0x6cAad74121bF602e71386505A4687f310e0D833e, kemudian menggunakan persetujuan ini.
Ini memungkinkan akses penuh ke dana yang masuk. Setelah dana tiba, penyerang mengeksekusi transfer tanpa penundaan. Penyerang menghapus seluruh saldo dalam satu tindakan terkoordinasi.
Pergerakan Dana Setelah Pengurasan
Setelah pengurasan, penyerang menukar aset yang dicuri dari token ke WETH dan kemudian ke ETH. Langkah-langkah ini mengurangi eksposur terhadap pelacakan tingkat token.
Penyerang kemudian memindahkan dana ke beberapa dompet. Transfer berlangsung cepat dan tersebar di beberapa alamat.
Metode ini menciptakan pola transaksi yang kompleks. Penyerang sering menggunakan pola seperti ini untuk memperlambat upaya pelacakan.
Analisis blockchain menunjukkan sebagian ETH tetap berada di on-chain. Dana ini berada di alamat yang masih terkait dengan penyerang.
Bacaan Terkait: Kerugian $25M: Machi Dilikuidasi untuk 1.000 ETH Setelah Penurunan Pasar
Pengamatan Onchain Berkelanjutan
Pengamat keamanan terus memantau dompet yang terkait dengan penyerang. Namun, penyidik tidak menemukan layanan pencampuran selama pergerakan awal.
Keberadaan dana di on-chain memberi ruang untuk pelacakan. Analis mengandalkan waktu transaksi dan tautan alamat.
Insiden ini menunjukkan bagaimana persetujuan lama dapat tetap aktif. Pemilik dompet sering lupa izin ini seiring waktu. Kejadian ini menambah kasus terbaru yang melibatkan persetujuan usang. Ini memperkuat perlunya peninjauan izin secara rutin.
Hingga data terbaru, belum ada transaksi pemulihan yang terjadi. Dana yang dicuri tetap di bawah kendali penyerang.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Volume Futures Ethereum Melonjak 38,22% dalam 24 Jam hingga $462,97B
Pesan Berita Gate, 28 April — Volume perdagangan futures Ethereum di seluruh bursa utama melonjak 38,22% dalam 24 jam terakhir, mencapai total $462,97 miliar, menurut data CoinGlass.
Distribusi volume perdagangan menunjukkan bursa CEX utama menyumbang porsi besar dari pasar, dengan open interest Ethereum berada pada sekitar $317,29 miliar secara global, dengan Ethereum open interest standing at approximately $317.29 billion globally. Volume futures Gate mencapai $58,78 miliar dengan open interest sebesar $41,8 miliar.
GateNews20menit yang lalu
Paus Ethereum di Hyperliquid Menghadapi Likuidasi Dalam $50 Saat ETH Melemah
Pesan Berita Gate, 28 April — Menurut pemantauan Hyperinsight, pemegang posisi long Ethereum besar (0x535) di platform Hyperliquid adalah yang paling dekat dengan likuidasi di antara semua paus berskala jutaan dolar di bursa
GateNews40menit yang lalu
DeFi United mengumpulkan komitmen dana ETH, rencana pemulihan rsETH memasuki tahap persetujuan tata kelola
Menurut pengumuman akun X resmi Aave pada 28 April, aliansi ekosistem DeFi United telah merilis rencana implementasi teknis, dengan tujuan untuk memulihkan dukungan jaminan KelpDAO rsETH dan berfungsinya pasar likuiditas secara normal. Berdasarkan pengumuman tersebut, DeFi United telah menyelesaikan komitmen dana ETH yang diperlukan, dan berencana untuk mengembalikan rsETH ke nilai tukar nominal melalui penyuntikan bertahap ke kontrak penguncian bridge.
MarketWhisper1jam yang lalu
Paus Menarik ETH senilai $9,98 Juta dari Bursa Terpusat
Pesan Berita Gate, seekor paus telah menarik 4.361 ETH senilai $9,98 juta dari bursa terpusat dalam 30 menit terakhir. Paus tersebut saat ini memegang 4.383 ETH senilai $10 juta. Alamat yang terkait dengan transaksi ini adalah 0xE5eCEX3370f1EEC271C9A0274EDa2Ff37AD2024d4.
GateNews2jam yang lalu
ETF Spot Ethereum Mencatat Arus Masuk Bersih $23,38M pada 24 April, BlackRock ETHB Memimpin dengan $32,25M
Pesan Berita Gate, 28 April — ETF spot Ethereum mencatat arus masuk bersih sebesar $23,38 juta pada 24 April (Waktu Timur AS), menurut data SoSoValue.
ETF Staked ETH BlackRock (ETHB) memimpin semua produk dengan arus masuk bersih neto satu hari sebesar $32,25 juta, sehingga total arus masuk historisnya menjadi $32,25 milli
GateNews2jam yang lalu
Kenaikan ETH ke $2.404 Akan Memicu Likuidasi Short Senilai $1,093M di CEX Utama
Pesan Berita Gate, 28 April — Menurut data Coinglass, jika ETH menembus di atas $2.404, kekuatan likuidasi short kumulatif di bursa terpusat utama akan mencapai $1,093 miliar.
Sebaliknya, jika ETH jatuh di bawah $2.176, kekuatan likuidasi long kumulatif di CEX utama akan mencapai $697
GateNews2jam yang lalu
