Jembatan lintas-rantai telah menguras lebih banyak uang daripada kategori lainnya di DeFi. Ronin Bridge (Axie Infinity): $625 juta. Wormhole: $320 juta. Nomad: $190 juta. Multichain: $126 juta. Harmony Horizon: $100 juta. Total kerugian dari eksploitasi jembatan sejak 2020 diperkirakan lebih dari $2,5 miliar — melebihi semua peretasan DeFi lainnya gabungan dalam periode yang sama menurut data Chainalysis.
Komunitas secara luas telah menerima ini sebagai “masalah sulit yang sudah diketahui.” Tetapi apa yang secara spesifik membuat jembatan sangat sulit? Dan mengapa solusi yang diusulkan sejauh ini — lebih banyak audit, penundaan multisig, jembatan kanonik — hanya sebagian mengatasi model kerentanan yang mendasarinya?
Apa Itu Jembatan Lintas-Rantai?
Jembatan memungkinkan pengguna memindahkan aset dari satu blockchain ke blockchain lain. Secara teori, ini tampaknya mudah. Dalam praktiknya, ini langsung berbenturan dengan salah satu batasan fundamental blockchain: setiap rantai adalah dunianya sendiri yang tertutup.
Bitcoin secara native tidak mengetahui apa pun tentang Ethereum. Ethereum secara native tidak mengetahui tentang Solana. Setiap rantai memelihara buku besarnya sendiri dan mengeksekusi aturannya sendiri, tanpa saluran komunikasi langsung ke rantai lain.
Untuk memindahkan, katakanlah, ETH dari mainnet Ethereum ke Arbitrum, kamu sebenarnya tidak bisa “memindahkan” ETH — kamu menguncinya di Ethereum dan menerbitkan representasi sintetis di Arbitrum. Keduanya dihubungkan oleh kepercayaan pada klaim jembatan bahwa penguncian telah terjadi. Ketika kamu keluar, sintetis dibakar dan ETH yang dikunci dilepaskan.
Ketergantungan kepercayaan ini adalah akar dari setiap peretasan jembatan.
Cara Desain Jembatan Bekerja (dan Gagal)
Jembatan validator eksternal:
Pendekatan asli. Sekumpulan validator mengawasi peristiwa di rantai sumber (mis. deposit Ethereum) dan menandatangani pesan yang mengotorisasi mint yang sesuai di rantai tujuan (mis. Solana). Jika mayoritas validator menandatangani pesan palsu — karena mereka dikompromikan, disuap, atau kunci penandatanganan dicuri — jembatan mencetak jumlah aset sintetis yang sewenang-wenang tanpa dukungan nyata.
Inilah yang terjadi pada Ronin Bridge. Ronin menggunakan 9 validator dan memerlukan 5 tanda tangan. Lazarus Group (unit peretasan negara Korea Utara) mengkompromikan 5 kunci validator selama beberapa bulan. Dengan kunci-kunci tersebut, mereka cukup menandatangani pesan penarikan palsu senilai $625 juta dalam ETH dan USDC. Tidak ada deteksi on-chain; penipuan baru menjadi jelas ketika seorang pengguna mencoba menarik 5.000 ETH dan menemukan jembatan sudah terkuras.
Kerentanannya: keamanan validator eksternal tereduksi menjadi keamanan kunci validator. Jika kunci-kunci tersebut ada di server hot dengan praktik keamanan yang tidak memadai, mereka menjadi target.
Jembatan optimistis (model bukti penipuan):
Daripada memerlukan konsensus segera, jembatan optimistis menganggap transaksi valid kecuali seseorang mengajukan bukti penipuan dalam jendela tantangan (biasanya 7 hari). Bayangkan desain optimistic rollup Ethereum yang digeneralisasi ke lintas-rantai.
Keuntungan: menghilangkan kebutuhan konsensus validator yang konstan. Keamanan terdegradasi secara bertahap — kamu hanya perlu satu pengamat jujur untuk mengajukan bukti penipuan.
Kekurangan: penundaan penarikan 7 hari adalah UX yang buruk. Dan jika tidak ada yang secara aktif mengawasi bukti penipuan (karena tidak menguntungkan atau jembatan memiliki nilai cukup rendah), mekanisme bukti penipuan gagal dalam praktiknya.
Jembatan ZK (model bukti validitas):
Alih-alih menganggap validitas atau memerlukan bukti penipuan manual, jembatan ZK menghasilkan bukti kriptografi bahwa transisi status di rantai sumber benar-benar terjadi. Bukti ini dapat diverifikasi oleh smart contract di rantai tujuan — tidak diperlukan validator tepercaya.
Ini adalah garis depan saat ini. Proyek-proyek seperti SP1 milik Succinct, Polyhedra, zkBridge, dan lainnya membangun pesan lintas-rantai yang diverifikasi ZK. Tantangannya: pembuatan bukti ZK mahal secara komputasi dan saat ini lambat. Jembatan ZK praktis tetap terbatas pada rute nilai tinggi dan throughput tinggi.
Jembatan kanonik:
Setiap L2 besar (Optimism, Arbitrum, Base, zkSync, dll.) menghadirkan “jembatan kanonik” — jembatan pihak pertama yang resmi didukung antara L2 dan mainnet Ethereum. Jembatan kanonik tidak memerlukan validator kustom atau kepercayaan pihak ketiga; mereka menggunakan mekanisme bukti penipuan atau validitas L2 sendiri untuk memverifikasi penarikan di Ethereum.
Jembatan kanonik umumnya adalah opsi paling aman. Tetapi mereka memiliki masalah UX yang sama seperti optimistic rollup: penarikan 7 hari pada optimistic L2. Penarikan cepat memerlukan penyedia likuiditas yang menanggung risiko jembatan sendiri dan mengenakan biaya.
Mengapa Audit Tidak Sepenuhnya Memecahkan Masalah
Jembatan Nomad diaudit. Jembatan Wormhole diaudit. Analisis post-mortem dalam kedua kasus mengungkapkan bahwa audit melewatkan kerentanan spesifik yang dieksploitasi.
Ini bukan karena auditor tidak kompeten. Kode jembatan sangat kompleks — ia berinteraksi dengan beberapa rantai, beberapa virtual machine, dan harus menangani berbagai kasus tepi dalam transisi status antar sistem yang tidak dirancang untuk berkomunikasi satu sama lain. Permukaan serangan besar dan banyak yang muncul secara operasional — muncul dalam cara sistem yang diterapkan berperilaku di bawah kondisi adversarial, bukan dalam cara kode dibaca secara terpisah.
Peretasan Nomad memiliki karakter spesifik yang layak dipahami: dapat dieksploitasi tanpa pengetahuan khusus tentang kontrak. Setelah eksploitasi awal ditemukan, itu menjadi dapat diputar ulang secara publik — siapa pun yang memahami apa yang terjadi dapat menyalin-tempel transaksi untuk menguras bagian mereka sendiri. Hasilnya adalah kekacauan bebas di mana ratusan dompet menguras Nomad secara bersamaan dalam waktu kurang dari satu jam.
Faktor Korea Utara
Sebagian besar peretasan jembatan — termasuk Ronin, Harmony Horizon, dan sebagian lainnya — telah dikaitkan dengan kelompok peretasan yang terhubung dengan DPRK, terutama Lazarus dan sub-grupnya. FBI, Chainalysis, dan Panel Ahli PBB tentang Korea Utara semuanya telah mempublikasikan bukti kampanye yang sedang berlangsung.
Metodologi serangannya biasanya bukan eksploitasi kode murni. Ini dimulai dengan rekayasa sosial: spear-phishing pengembang dan tim keamanan, membuat tawaran pekerjaan palsu di LinkedIn, dan secara bertahap membangun akses ke sistem internal dan material kunci selama beberapa minggu atau bulan sebelum mengeksekusi penarikan dana sebenarnya. Peretasan Ronin senilai $625 juta dilaporkan diaktifkan oleh PDF yang dikirim ke pengembang Axie Infinity yang berisi kode berbahaya.
Ini merangkai ulang masalah keamanan jembatan sebagian sebagai masalah operasional/OPSEC, bukan semata-mata masalah keamanan smart contract. Kode bisa sempurna; jika kunci privat validator ada di mesin yang terhubung internet yang dioperasikan oleh pengembang yang mengklik PDF phishing, mereka akan dikompromikan.
Situasi Saat Ini
Gambaran jujurnya: jembatan adalah infrastruktur yang diperlukan — DeFi tidak bisa berfungsi sebagai ekosistem multi-rantai tanpa mereka — tetapi mereka mewakili kategori risiko yang persisten dan substansial.
Yang mengurangi risiko sekarang:
- Jembatan L2 kanonik untuk perpindahan antara Ethereum dan rollup-nya sendiri (Arbitrum, Optimism, Base)
- Jembatan pihak ketiga dengan praktik keamanan yang kuat: time lock, multisig dengan kunci hardware, bug bounty, penarikan tertunda
- Menghindari jembatan untuk nilai besar ketika alternatif ada (menerima biaya UX dari jembatan kanonik)
Yang mungkin membantu jangka panjang:
- Jembatan yang diverifikasi ZK mengurangi kepercayaan menjadi bukti kriptografi daripada keamanan kunci
- Standar manajemen kunci yang lebih baik dan praktik keamanan operasional di seluruh tim jembatan
Yang tidak akan sepenuhnya memecahkannya:
- Audit saja
- Lebih banyak validator (mengkompromikan 5 dari 9 vs. 8 dari 15 adalah peningkatan keamanan marginal terhadap penyerang yang disponsori negara)
Pola di seluruh peretasan jembatan konsisten: asumsi kepercayaan yang kompleks, praktik keamanan yang kurang didanai, dan adversari yang beroperasi dengan sumber daya dan kesabaran setingkat negara.
Terakhir diperbarui: 2026