TAC pada 21 Mei merilis laporan analisis resmi pasca-insiden terkait kejadian keamanan jembatan aset TON-TAC pada 11 Mei. Akar penyebab kerentanan adalah perangkat lunak sequencer yang tidak memiliki verifikasi kunci; total kerugian sekitar 2,854 juta dolar AS (melibatkan USDT, BLUM, dan tsTON). Sekitar 90% aset yang dicuri telah dikembalikan ke alamat multi-tanda tangan yang dikendalikan TAC, dan dana TAC akan menutup sisa 288 ribu dolar AS.
Akar Penyebab Insiden dan Detail Teknik Serangan
Berdasarkan konfirmasi analisis resmi pasca-insiden dari TAC, kerentanan inti adalah perangkat lunak sequencer tidak memverifikasi apakah nilai hash kode dari dompet Jetton pengirim yang dikirim dalam pesan jembatan masuk sesuai dengan kode dompet Jetton standar. Ini berarti, setiap kontrak TON yang dapat menghasilkan pesan jembatan dengan format yang benar, apa pun kode sebenarnya atau pembuat/issuer-nya, akan dianggap sebagai dompet Jetton yang sah.
Serangan terjadi sekitar sebelum 11 Mei 2026 pukul 02:20 UTC. Penyerang menerapkan dompet Jetton palsu di TON (tampilannya meniru dompet USDT tetapi tidak memerlukan dukungan likuiditas nyata), mengirim pesan jembatan ke kontrak TAC Proxy. Sequencer mengonfirmasi token palsu dan melakukan minting aset yang setara di TAC. Setelah itu, penyerang menjembatani kembali aset hasil minting tersebut ke TON, melepaskan aset yang sebenarnya terkunci di jembatan TON. Dana kemudian dialihkan melalui infrastruktur seperti LayerZero dan THORChain ke beberapa jaringan termasuk Ethereum, Bitcoin, ZCash, BSC, dan Solana, serta—melalui protokol privasi—semakin mengaburkan aliran dana. Pemantauan keamanan real-time dari Hypernative mendeteksi ketidaksesuaian saldo TON dan saldo TAC, lalu tim TAC segera menghentikan sequencer dan menghubungi penegak hukum, SEAL911, serta auditor keamanan.
Data Konfirmasi Situasi Pemulihan Aset
Berdasarkan laporan resmi TAC, total kerugian protokol sekitar 2,854 juta dolar AS (hingga 12 Mei 2026 pukul 22:00 UTC). Rinciannya: USDT sekitar 2,434 juta dolar AS, BLUM sekitar 403 ribu dolar AS, dan tsTON sekitar 18 ribu dolar AS.
Pada 14 Mei, sekitar 90% aset yang dicuri dikembalikan ke alamat multi-tanda tangan yang dikendalikan TAC. Nilai yang benar-benar dipulihkan adalah 2,290.7 ribu dolar AS, dengan tingkat pemulihan efektif sekitar 80,2% (selisih mencerminkan fluktuasi pasar, kerugian biaya, dan kerugian akibat slippage selama proses pemindahan aset lintas banyak jaringan). Sisa sekitar 288 ribu dolar AS tidak dapat dipulihkan, termasuk 13 ETH yang telah dipindahkan ke Tornado Cash, sebagian ZEC, dan SOL yang telah dialihkan melalui protokol privasi Umbra.
Rencana Pemulihan dan Langkah Lanjutan yang Terkonfirmasi
Berdasarkan pernyataan resmi TAC, pemulihan jembatan lintas rantai memerlukan dua prasyarat: (1) perangkat lunak sequencer setelah perbaikan lolos pemeriksaan independen oleh auditor inti dan pakar ekosistem TON; dan (2) menggunakan aset yang dipulihkan serta cadangan token dari dana TAC untuk menutup kekurangan dana, sehingga pemulihan likuiditas transisional sepenuhnya dapat dilakukan.
TAC mengonfirmasi bahwa kekurangan dana yang tersisa akan dipenuhi oleh perbendaharaan yayasan (treasury). Pengguna dan protokol tidak akan mengalami kerugian finansial apa pun. Setelah pemulihan, pengguna tidak perlu mengambil tindakan apa pun. Karena perlu koordinasi dengan banyak pihak, TAC menyatakan saat ini tidak dapat memberikan jadwal pemulihan yang pasti; pembaruan berikutnya akan dirilis setiap minggu melalui akun X resmi dan kanal Telegram. TAC juga memperingatkan: setiap DM “pemulihan” atau “dukungan” yang tidak diminta adalah penipuan.
Pertanyaan yang Sering Diajukan
Apa akar penyebab serangan jembatan lintas rantai TAC ini?
Berdasarkan analisis resmi pasca-insiden TAC, akar penyebabnya adalah perangkat lunak sequencer tidak memiliki verifikasi terhadap hash kode dompet Jetton pengirim dalam pesan jembatan masuk, sehingga penyerang dapat menerapkan dompet Jetton palsu tanpa perlu dukungan likuiditas nyata untuk memicu pencetakan token di TAC, lalu mengekstraksi aset sebenarnya yang terkunci di jembatan TON.
Apakah pengguna akan menanggung kerugian finansial akibat kejadian ini?
Berdasarkan pernyataan resmi TAC, kekurangan dana sekitar 10% yang tersisa akan dipenuhi oleh perbendaharaan dana TAC, untuk memastikan pengguna dan protokol tidak mengalami kerugian finansial apa pun. Setelah pemulihan, pengguna tidak perlu mengambil tindakan apa pun.
Kapan jembatan lintas rantai akan kembali beroperasi?
Berdasarkan penjelasan resmi TAC, pemulihan memerlukan dua langkah: audit independen terhadap perangkat lunak sequencer setelah perbaikan dan penutupan kekurangan dana. Karena ketergantungan eksternal, TAC saat ini tidak dapat memberikan jadwal yang pasti; pembaruan akan dilakukan setiap minggu melalui kanal resmi.
