Analisis Poly Network Hack: $600 Juta Dicuri lalu Dikembalikan
Poly Network kehilangan lebih dari $600 juta pada Agustus 2021 lewat celah kontrak cross-chain, lalu hampir seluruhnya dikembalikan oleh pelaku sendiri.
Poly Network, protokol interoperabilitas cross-chain, kehilangan lebih dari $600 juta pada 10 Agustus 2021 setelah penyerang mengeksploitasi celah pada kontrak manajemen cross-chain untuk mengambil alih hak “keeper” — peran yang berwenang mengotorisasi penarikan dana dari kontrak. Kasus ini unik karena, berbeda dari kebanyakan hack besar lain, pelaku mengembalikan hampir seluruh dana curian hanya dalam hitungan minggu.
Kronologi
Poly Network memfasilitasi transfer aset lintas-blockchain antara Ethereum, BNB Chain, dan Polygon menggunakan kontrak manajer bernama EthCrossChainManager (dan padanannya di masing-masing chain), yang bekerja sama dengan sekumpulan alamat “keeper” — pihak yang berwenang memverifikasi dan mengeksekusi transaksi cross-chain yang sah.
Pada 10 Agustus 2021, penyerang mengirimkan serangkaian transaksi yang berhasil memanipulasi kontrak manajer di ketiga jaringan tersebut untuk mengganti alamat keeper resmi dengan alamat miliknya sendiri. Begitu menjadi keeper “sah” di mata kontrak, penyerang langsung mengotorisasi penarikan dana dalam jumlah besar dari fund pool Poly Network di Ethereum, BNB Chain, dan Polygon secara berurutan, dengan total nilai lebih dari $600 juta dalam berbagai token.
Tak lama setelah insiden, Poly Network memposting pesan terbuka di media sosial memohon pelaku mengembalikan dana, sekaligus memperingatkan bahwa dana curian sudah “ditandai” oleh seluruh exchange besar sehingga akan sulit dicairkan. Penyerang, yang mulai berkomunikasi lewat pesan on-chain (di kolom data transaksi) dan menyebut dirinya “Mr. White Hat”, mengklaim motivasinya adalah “untuk kesenangan” dan untuk menunjukkan kerentanan protokol, bukan untuk mencuri secara permanen. Ia mulai mengembalikan dana secara bertahap mulai 11 Agustus, dan hampir seluruh dana — dengan pengecualian sebagian kecil yang sempat dibekukan oleh Tether — dikembalikan dalam waktu sekitar dua minggu.
Bagaimana Exploit Terjadi
Akar masalah insiden ini adalah kelemahan desain pada fungsi verifikasi di kontrak EthCrossChainManager. Kontrak ini memiliki fungsi yang mengizinkan pemanggilan lintas-kontrak (cross-contract call) dengan parameter yang bisa disusun sendiri oleh pemanggil, termasuk kemampuan memanggil fungsi milik kontrak itu sendiri (self-call). Seharusnya, fungsi yang mengubah keeper hanya boleh dipanggil oleh keeper yang sudah terverifikasi terlebih dahulu.
Namun, penyerang menemukan cara menyusun data transaksi sedemikian rupa sehingga kontrak EthCrossChainManager dibuat memanggil fungsi ubah-keeper miliknya sendiri, dengan parameter yang menunjuk ke alamat penyerang, tanpa melalui jalur verifikasi keeper yang seharusnya menjadi syarat. Setelah keeper berhasil diganti, seluruh transaksi penarikan berikutnya yang ditandatangani penyerang dianggap sah oleh sistem, karena secara teknis memang berasal dari keeper yang “sah” menurut catatan kontrak — meski keeper itu sendiri didapat lewat celah, bukan proses otorisasi yang benar.
Ini adalah contoh klasik kerentanan pada logika kontrol akses (access control) di sistem cross-chain yang kompleks: satu celah kecil pada fungsi yang seharusnya dibatasi ketat bisa dipakai untuk mengambil alih seluruh kepercayaan sistem, karena begitu status “keeper sah” berhasil didapat, semua pemeriksaan lanjutan otomatis meloloskan transaksi penyerang.
Dampak
Total dana yang berhasil diambil lebih dari $600 juta menjadikan Poly Network salah satu hack DeFi terbesar dari sisi nilai nominal dalam sejarah, meski dampak kerugian permanen jauh lebih kecil karena hampir seluruh dana dikembalikan. Poly Network sempat menawarkan Mr. White Hat posisi sebagai kepala keamanan (chief security advisor) dan bug bounty sebagai bentuk apresiasi, meski tidak jelas secara publik apakah tawaran tersebut pernah benar-benar diterima secara resmi.
Kasus ini menjadi rujukan penting dalam diskusi soal batas antara “white hat” (peretas etis) dan pencurian murni — karena pelaku tidak diminta izin sebelumnya untuk menguji kerentanan tersebut, tindakannya tetap secara hukum berada di area abu-abu, meski publik crypto secara umum memandangnya lebih lunak dibanding kasus serupa yang dananya tidak pernah kembali.
Pelajaran
Beberapa pelajaran konkret yang relevan untuk pengguna dan pengamat protokol cross-chain:
- Sistem otorisasi terpusat pada satu peran (seperti “keeper”) menciptakan titik kegagalan tunggal. Begitu peran tersebut berhasil diambil alih lewat celah apa pun, seluruh lapisan keamanan berikutnya runtuh karena sistem menganggapnya sebagai pihak yang sah. Bandingkan ini dengan pendekatan validator terdistribusi yang dibahas dalam kasus Ronin Bridge — semakin terpusat titik kepercayaan, semakin besar dampak jika satu celah berhasil dieksploitasi.
- Jangan mengandalkan itikad baik pelaku sebagai strategi mitigasi risiko. Poly Network beruntung karena pelakunya memilih mengembalikan dana, tapi ini adalah pengecualian langka, bukan hasil yang bisa diasumsikan akan terjadi lagi pada insiden serupa.
- Kontrak dengan kemampuan self-call atau pemanggilan fungsi internal secara fleksibel butuh lapisan verifikasi ekstra. Fleksibilitas teknis semacam ini memudahkan pengembangan, tapi juga memperluas permukaan serangan jika tidak dibatasi ketat siapa yang boleh memicu pemanggilan tersebut.
- Bridge dan protokol cross-chain tetap menjadi kategori berisiko tinggi dibanding protokol single-chain karena kompleksitas koordinasi antar-sistem yang berbeda. Baca juga kesalahan umum investor crypto pemula untuk konteks lebih luas soal manajemen risiko sebelum menaruh dana besar di protokol apa pun.
⚠️ Disclaimer: Artikel ini bersifat edukatif dan disusun berdasarkan laporan publik serta pemberitaan yang telah terverifikasi. Bukan saran keuangan atau investasi personal. Selalu lakukan riset mandiri sebelum menggunakan protokol atau bridge apa pun.
Anda sudah paham konsepnya — saatnya eksekusi dengan pendampingan langsung. Join WhaleX Membership: akses kelas, mentor, dan komunitas investor crypto Indonesia.
Join Membership WhaleX →Pertanyaan Umum
Berapa dana yang dicuri dari Poly Network?
Lebih dari $600 juta dalam berbagai aset di jaringan Ethereum, BNB Chain, dan Polygon, terjadi pada 10 Agustus 2021 — salah satu hack DeFi terbesar dalam sejarah dari sisi nilai nominal.
Apakah dana Poly Network kembali?
Ya, hampir seluruh dana dikembalikan oleh pelaku dalam waktu sekitar dua minggu setelah insiden. Pelaku, yang menyebut dirinya 'Mr. White Hat', mengklaim tujuannya untuk mengekspos kerentanan, bukan mencuri secara permanen.