Ethereum kembali menjadi sorotan setelah peluncuran Pectra Upgrade di testnet mengalami gangguan teknis yang diduga sebagai serangan. Seorang penyerang tak dikenal mengeksploitasi celah, memaksa tim pengembang untuk menerapkan “private fix” guna mengatasi permasalahan tersebut.
Marius van der Wijden, salah satu pengembang, mengungkapkan pada blognya pada 8 Maret 2025 bahwa serangan ini memanfaatkan celah dalam standar ERC-20, yang memungkinkan transaksi dengan nilai nol untuk memicu kesalahan pada jaringan.
Ada Celah Keamanan di Ethereum Pectra Upgrade?
Pectra Upgrade diaktifkan pada 5 Maret 2025 di Sepolia testnet. Namun, tak lama setelah hardfork berlangsung, para pengembang mulai mendeteksi pesan kesalahan pada node serta peningkatan jumlah blok kosong yang ditambang.
“Kami melihat pesan kesalahan pada node geth kami dan mulai melihat banyak blok kosong yang ditambang. Pesan kesalahan tersebut berbunyi: ‘Tidak dapat mengurai data deposit: panjang deposit salah. Yang diharapkan 576, tetapi yang diterima 32,’” tulis Wijden.
Masalah ini bermula dari smart contract yang digunakan untuk melakukan deposit yang malah terlihat mengeluarkan transfer event alih-alih deposit event yang diharapkan. hal ini menyebabkan node menolak transaksi dan hanya menghasilkan blok kosong.
Awalnya, kesalahan pada proposal EIP-7600 dikaitkan dengan EIP-6110, yang mengharuskan semua log dari kontrak deposit diproses secara seragam. Untuk mengatasi masalah ini, para developer merilis perbaikan yang mengabaikan semua invalid log dari deposit contract.
Namun, tampaknya mereka luput mempertimbangkan salah satu celah dalam ERC-20 yang ada di jaringan Ethereum. Celah ini telah menjadi akar permasalahan utama dan dimanfaatkan oleh exploiter. Hal ini kemudian dikonfirmasi oleh Wijden.
“Standar ERC-20 tidak melarang transfer token dengan nilai nol, sehingga siapapun, bahkan seseorang yang tidak memiliki token, dapat mengirimkan transaksi ini dan memicu event,” jelasnya.
Celah dalam proses uji coba Ethereum Pectra Upgrade ini akhirnya dimanfaatkan oleh penyerang dengan mengirimkan transfer nol token secara berulang-ulang ke kontrak deposit, menyebabkan jaringan terus-menerus menambang blok kosong.
Upaya Pengembang Menghentikan Serangan
Awalnya, tim developer mengira kesalahan pada proposal EIP-7600 disebabkan oleh validator. Namun, setelah penyelidikan lebih lanjut, mereka menemukan bahwa transaksi tersebut berasal dari akun baru yang mendapatkan dana melalui faucet.
Untuk menghentikan serangan ini, pengembang harus memfilter transaksi yang berinteraksi dengan deposit contract. Namun, mereka menduga bahwa pelaku memantau komunikasi mereka, sehingga tim memutuskan untuk menerapkan perbaikan pada Pectra Upgrade secara tertutup (private fix).
“Setelah kami memperbarui semua ef_devops nodes (sekitar 10 persen dari jaringan), mereka mulai mengusulkan blok penuh kembali. Dengan cara ini, pengguna masih dapat menggunakan jaringan hingga kami menerapkan perbaikan sebenarnya secara terkoordinasi,” ungkapnya.
Setelah perbaikan diterapkan pada proposal peningkatan Ethereum yang masih dalam tahap uji coba, node kembali menghasilkan blok penuh. Pada pukul 14:00 UTC, jaringan kembali beroperasi normal.
Beberapa blok setelahnya, transaksi yang sebelumnya digunakan oleh penyerang berhasil ditambang, menandakan bahwa seluruh operator node kini telah berhasil memperbarui sistem mereka.
Meskipun sempat terganggu, Ethereum tetap mempertahankan finalisasi jaringan. Insiden ini hanya terjadi di Sepolia testnet karena perbedaan pada deposit contract. Kendati demikian, pengembang memutuskan untuk menunda implementasi Pectra Upgrade. [dp]