Perusahaan infrastruktur DeFi, Enso, telah mengidentifikasi jenis baru kolam likuiditas berbahaya yang disebut "kolam beracun." Berbeda dengan serangan tradisional yang mencuri dana secara langsung, kolam-kolam ini memanipulasi simulasi transaksi.
Ancaman Terbaru di Dunia DeFi: Bagaimana Kolam Likuiditas Berbahaya Menipu Pengguna Ethereum dan Polygon dengan Penawaran Harga Palsu

Poin-poin Utama
- Laporan Enso pada 16 Juli mengungkap "toxic pools" yang memalsukan penawaran harga, sehingga menyebabkan kerugian puluhan ribu dolar pada sebuah kolam likuiditas Curve.
- Serangan ini mengancam antarmuka DeFi, dengan satu hook Uniswap v4 berbahaya yang menyebabkan tingkat kegagalan sebesar 99,1%.
- Enso memperbarui produk Enso Shield-nya untuk mendeteksi penawaran palsu di 2 lingkungan blockchain yang berbeda.
Taktik 'Jekyll dan Hyde'
Sebuah kelas baru kolam likuiditas keuangan terdesentralisasi (DeFi) berbahaya yang baru terungkap menargetkan infrastruktur inti yang diandalkan oleh para pedagang kripto untuk menemukan harga terbaik, menurut penelitian terbaru yang diterbitkan pada 16 Juli oleh perusahaan infrastruktur DeFi, Enso.
Perusahaan tersebut menyebut pengaturan menipu ini sebagai "kolam beracun." Berbeda dengan peretasan kripto pada umumnya yang menguras dana langsung dari kontrak pintar, kolam-kolam ini dirancang untuk secara sistematis menipu simulasi transaksi. Mereka menampilkan penawaran harga yang menarik dan sangat kompetitif saat dompet kripto atau agregator bursa terdesentralisasi (DEX) menjalankan simulasi, tetapi mengubah perilakunya begitu transaksi benar-benar dieksekusi di blockchain.
Hasilnya adalah pengurasan dana yang halus dan sistematis: para pedagang menerima harga eksekusi yang jauh lebih buruk daripada yang dikutip, atau transaksi mereka gagal, sehingga membuang-buang biaya jaringan dalam prosesnya.
"Penyelidikan kami membuat kami yakin bahwa ini bukan sekadar eksploitasi kontrak pintar yang terisolasi," kata Milos Costantini, salah satu pendiri dan kepala bagian produk di Enso. "Industri ini telah menghabiskan waktu bertahun-tahun untuk mengoptimalkan penentuan harga. Temuan kami menunjukkan bahwa tantangan berikutnya adalah memverifikasi integritas eksekusi."
Menurut laporan Enso, pool beracun memanfaatkan simulasi "dry-run" off-chain yang digunakan dompet untuk melihat pratinjau perdagangan. Kontrak jahat tersebut mendeteksi saat mereka berjalan di lingkungan simulasi read-only dan mengembalikan harga yang dioptimalkan secara artifisial. Begitu transaksi benar-benar disiarkan ke dalam rantai blok, pool tersebut mengubah logika matematisnya untuk mengeksekusi perdagangan dengan tarif yang lebih rendah.
Untuk tetap tersembunyi dari sistem keamanan, pool-pool ini berganti-ganti antara keadaan jujur dan jahat, sehingga pemindai kode statis dan filter reputasi historis menjadi tidak efektif. Desain "bait-and-switch" ini merusak pengalaman pengguna dan menguras dana pengguna melalui transaksi yang gagal. Dalam satu studi kasus, sebuah kolam Curve yang dimanipulasi memicu lebih dari 37.000 transaksi yang dibatalkan, memaksa pengguna untuk menghabiskan hampir $30.000 dalam biaya gas.
Para penyerang juga memanfaatkan arsitektur bursa modular generasi terbaru. Di Polygon, sebuah "hook" jahat — sebuah plugin kontrak pintar yang digunakan di platform seperti Uniswap v4 — memancing sistem perutean dengan tarif palsu sebelum memicu tingkat kegagalan transaksi sebesar 99,1%.
Temuan dari Analisis Forensik On-Chain
Penelitian ini, yang mencakup analisis forensik on-chain selama sekitar dua bulan, menggabungkan data historis node arsip, analisis jejak transaksi, dan pemeriksaan kontrak pintar. Insinyur Enso, dengan dukungan dari kontak di protokol DeFi besar seperti Curve Finance dan Oku, mengidentifikasi pool beracun yang aktif beroperasi di blockchain Ethereum dan Polygon.
Dalam satu studi kasus yang terdokumentasi di Ethereum, sebuah kolam Curve yang dimanipulasi memproses lebih dari 129.000 swap. Meskipun kolam tersebut tampak sebagai rute optimal, eksekusinya ternyata lebih buruk daripada yang dikutip, yang mengakibatkan kutipan yang dilebih-lebihkan sebesar sekitar $225.000.
Selain itu, tim Enso mengidentifikasi beberapa kontrak oracle blockchain yang diimplementasikan oleh operator yang sama untuk mendukung kolam tambahan, yang menunjukkan bahwa taktik ini kemungkinan lebih luas daripada dua kasus yang didokumentasikan dan dapat menjadi pola baru untuk ekstraksi on-chain.
Temuan ini menjadi tantangan langsung bagi lapisan yang berinteraksi langsung dengan pengguna dalam ekosistem DeFi. Dompet populer, antarmuka yang ditujukan untuk konsumen, dan agregator sangat bergantung pada simulasi otomatis untuk menjamin "jalur terbaik" bagi transaksi pengguna.
Laporan Enso menyoroti bahwa jika infrastruktur perutean tidak dapat membedakan antara penawaran harga yang sah dan yang dimanipulasi, antarmuka pengguna akan terus mengarahkan pengguna ke perangkap-perangkap ini. Hal ini menimbulkan risiko tanggung jawab hukum dan keuangan potensial bagi penyedia dompet dan operator antarmuka yang menjanjikan "eksekusi terbaik" namun secara rutin memberikan rute yang merugikan.
Menanggapi ancaman tersebut, Enso mengumumkan telah memperbarui produk perlindungan eksekusi miliknya, Enso Shield, dengan menambahkan fitur deteksi kolam toksik khusus. Alat keamanan ini dirancang untuk melewati metode simulasi standar dengan menganalisis konteks on-chain secara real-time, memantau riwayat penawaran, dan menggunakan jejak transaksi untuk mengidentifikasi ketidaksesuaian eksekusi.
Alih-alih menyalahkan bursa terdesentralisasi secara individual, Enso menyerukan kepada industri kripto secara luas untuk melakukan penelitian lebih lanjut mengenai manipulasi simulasi transaksi.
“Jika simulasi transaksi dapat dimanipulasi sementara eksekusi sebenarnya menunjukkan cerita yang berbeda,” kata Costantini, “kita membutuhkan cara yang lebih baik untuk memverifikasi apa yang sebenarnya diterima pengguna.”
Artikel ini diterjemahkan dari bahasa Inggris menggunakan AI. Versi asli berbahasa Inggris adalah sumber yang berwenang; terjemahan otomatis dapat mengandung ketidakakuratan, terutama dalam terminologi hukum dan peraturan.

















