Kekacauan Web3 Melanda Hebat: Jutaan Ditarik dalam Dua Minggu saja di Tahun 2026 – Laporan

Extropy melaporkan peretasan besar di dunia kripto pada Januari 2026. Truebit kehilangan $26M, pelanggaran data Ledger mengungkapkan pengguna, dan serangan phishing meningkat.

Dua minggu pertama tahun 2026 membawa gelombang insiden keamanan di seluruh platform Web3.

Extropy menerbitkan laporan Security Bytes yang mendokumentasikan peristiwa-peristiwa ini. Temuan tersebut menggambarkan gambaran yang mengkhawatirkan tentang lanskap ancaman saat ini.

Menurut laporan tersebut, para penyerang melanjutkan operasi mereka selama musim liburan. Kerusakan berkisar dari eksploitasi bernilai jutaan dolar hingga kampanye phishing yang canggih.

Truebit Protocol Kehilangan $26 Juta karena Celah Kode Warisan

Insiden besar pertama tahun ini menimpa Truebit Protocol pada 8 Januari. Seorang penyerang menguras sekitar $26 juta dolar dalam apa yang disebut Extropy sebagai eksploitasi “kode zombie”.

Kerentanannya berasal dari overflow integer dalam kontrak pintar warisan. Kontrak-kontrak lama ini tidak memiliki perlindungan overflow bawaan dari Solidity modern. Penyerang mencetak jutaan token TRU dengan biaya yang hampir nol.

Setelah dibuat, token tersebut kembali masuk ke dalam protokol. Semua likuiditas yang tersedia menghilang dalam beberapa jam. Harga token TRU anjlok hampir 100% dalam waktu 24 jam saja.

Extropy mencatat bahwa penyerang langsung memindahkan 8.535 ETH melalui Tornado Cash. Perusahaan keamanan kemudian mengaitkan dompet tersebut dengan eksploitasi Sparkle Protocol sebelumnya. Ini menunjukkan adanya pelaku berulang yang secara khusus menargetkan kontrak yang ditinggalkan.

Laporan memperingatkan bahwa kontrak warisan tetap menjadi kerentanan kritis. Proyek harus secara aktif memantau atau menonaktifkan kode lama.

TMXTribe Mengalami Drain $1.4J selama 36 Jam

Antara 5 dan 7 Januari, TMXTribe mengalami serangan yang lebih lambat tetapi sama-sama merusak. Fork GMX di Arbitrum kehilangan $1.4 juta selama 36 jam berturut-turut.

Extropy menggambarkan eksploitasi ini sebagai operasi yang secara mekanis sederhana. Sebuah loop mencetak token LP, menukarnya dengan stablecoin, lalu melepas stake berulang kali. Kontrak yang tidak diverifikasi mencegah analisis publik terhadap kerentanan yang tepat.

Yang paling mengganggu peneliti adalah respons tim. Menurut laporan, pengembang tetap aktif di blockchain selama serangan berlangsung. Mereka meluncurkan kontrak baru dan melakukan peningkatan selama proses drain.

Namun, mereka tidak pernah mengaktifkan fungsi jeda darurat. Sebaliknya, tim mengirim pesan bounty di blockchain kepada penyerang. Pencuri mengabaikannya, memindahkan dana ke Ethereum, dan mencucinya melalui Tornado Cash.

Extropy mempertanyakan apakah ini menunjukkan kelalaian atau sesuatu yang lebih buruk. Laporan menekankan bahwa kontrak yang tidak diverifikasi menjadi tanda bahaya bagi pengguna.

Dalam beberapa hari pertama Januari, kami sudah melihat seluruh spektrum mode kegagalan Web3: kontrak zombie yang mencetak uang, tata kelola yang berubah menjadi perang saudara, fork yang tidak diverifikasi berdarah-darah secara perlahan, kebocoran rantai pasokan yang menempatkan pengguna dalam risiko fisik, phishing yang digunakan sebagai senjata… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13 Januari 2026

Pelanggan Ledger Menghadapi Risiko Keamanan Fisik

Pada 5 Januari, Ledger mengonfirmasi adanya pelanggaran data yang mempengaruhi basis pelanggan mereka. Pelanggaran ini berasal dari pemroses pembayaran Global-e, bukan dari perangkat keras Ledger.

Nama pelanggan, alamat pengiriman, dan informasi kontak mereka bocor. Extropy memperingatkan bahwa ini menciptakan skenario yang disebut “serangan wrench” oleh para ahli keamanan. Penyerang kini memiliki daftar pemilik dompet perangkat keras kripto dan lokasi mereka.

Laporan mencatat ironi yang pahit. Ledger sebelumnya dikritik karena mengenakan biaya untuk fitur keamanan. Sekarang, pemroses pembayaran mereka telah mengekspos pengguna terhadap bahaya fisik tanpa biaya.

Extropy menyarankan pengguna untuk mengantisipasi upaya phishing yang canggih. Data yang dicuri memungkinkan penyerang membangun kepercayaan palsu melalui komunikasi yang dipersonalisasi.

_Bacaan Terkait: _****Ringkasan Insiden Keamanan Seputar Ledger Hardware Wallets

Kampanye Phishing MetaMask Menguras $107.000

Peneliti keamanan ZachXBT menandai operasi phishing yang canggih yang menargetkan pengguna MetaMask. Kampanye ini telah menguras lebih dari $107.000 dari ratusan dompet.

Korban menerima email profesional yang mengklaim adanya upgrade wajib tahun 2026. Pesan-pesan tersebut menggunakan template pemasaran yang sah dan menampilkan logo MetaMask yang telah dimodifikasi. Extropy menggambarkan desain rubah dengan topi pesta sebagai yang secara mengganggu merayakan.

Penipuan ini tidak meminta seed phrase. Sebaliknya, mereka meminta pengguna untuk menandatangani persetujuan kontrak. Ini memungkinkan penyerang memindahkan token tanpa batas dari dompet korban.

Dengan menjaga pencurian individual di bawah $2.000, operasi ini menghindari alarm besar. Extropy menekankan bahwa tanda tangan bisa sama berbahayanya dengan kunci yang bocor.