Bagaimana Jembatan Kripto Memindahkan Miliaran dan Mengapa Peretas Terus Membobolnya

Jembatan cross-chain telah kehilangan lebih banyak uang karena eksploit dibanding hampir semua kategori lain di kripto.

Jembatan Ronin kehilangan $625 juta pada 2022. Wormhole kehilangan $320 juta di tahun yang sama. Nomad kehilangan $190 juta beberapa bulan kemudian.

Namun jembatan justru makin penting sekarang.

TAC, Celo, dan puluhan proyek lain mengandalkan jembatan untuk menghubungkan ekosistem blockchain terpisah yang sebaliknya tidak bisa saling berkomunikasi.

Memahami mengapa jembatan sekaligus tak tergantikan dan berbahaya dimulai dari memahami apa yang sebenarnya mereka lakukan di level teknis.

TL;DR

Jembatan blockchain adalah perangkat lunak yang mengunci aset di satu rantai dan mencetak representasi ekuivalen di rantai lain, sehingga nilai dapat berpindah antar jaringan terisolasi.

Jembatan adalah target bernilai tinggi karena memegang kustodi aset terkunci, terkadang bernilai miliaran dolar, di smart contract atau dompet multisig.

Ada empat desain jembatan utama (lock-and-mint, burn-and-mint, liquidity pool, dan light-client verification), masing-masing dengan kompromi keamanan berbeda.

Mayoritas peretasan besar mengeksploitasi kompromi kunci validator, manipulasi oracle, atau bug logika di smart contract, bukan di blockchain dasarnya.

Desain terbaru yang meminimalkan kepercayaan dengan zero-knowledge proof mengurangi permukaan serangan, tetapi belum ada jembatan yang benar-benar bebas risiko saat ini.

Apa yang Sebenarnya Dilakukan Jembatan Blockchain

Dua blockchain, secara default, adalah sistem yang sepenuhnya terisolasi.

Bitcoin (BTC) tidak punya kesadaran apa pun tentang Ethereum (ETH). Ethereum tidak bisa secara native membaca pembaruan state Solana (SOL).

Setiap rantai memproses transaksinya sendiri, memelihara bukunya sendiri, dan mencapai konsensus secara independen. Tidak ada memori bersama di antara mereka.

Jembatan adalah lapisan perangkat lunak yang menciptakan ilusi pergerakan lintas rantai.

Dalam praktiknya, aset tidak benar‑benar “bergerak” dari satu rantai ke rantai lain. Yang sebenarnya terjadi adalah proses dua langkah: aset dikunci (atau dibakar) di rantai sumber, dan representasi yang sesuai dicetak (atau dilepas) di rantai tujuan.

Protokol jembatan mengoordinasikan dua peristiwa ini dan menjamin keduanya saling terhubung.

Jembatan tidak menteleport token Anda. Ia menguncinya di satu sisi dan mencetak IOU di sisi lain — pertanyaan keamanannya selalu: siapa yang mengendalikan kunci penguncian, dan siapa yang mengotorisasi pencetakan?

Pembedaan ini sangat penting untuk keamanan.

Aset asli berada dalam kustodi di suatu tempat. Kustodi itulah permukaan serangan.

Apakah kustodi itu berupa smart contract, dompet multisig yang dikendalikan komite validator, atau sistem bukti kriptografis menentukan hampir seluruh tingkat keamanan jembatan.

Empat Desain Utama Jembatan

Tidak semua jembatan bekerja dengan cara yang sama. Ada empat pola arsitektur dominan yang digunakan saat ini, dan masing‑masing membuat kompromi berbeda antara keamanan, kecepatan, efisiensi modal, dan desentralisasi.

Lock-and-Mint adalah desain paling umum. Pengguna mengirim token ke smart contract di rantai sumber, tempat token tersebut dikunci. Kumpulan validator jembatan mengamati setoran ini dan menginstruksikan rantai tujuan untuk mencetak versi “wrapped” dari token itu. Wrapped Bitcoin (WBTC) di Ethereum bekerja seperti ini. Begitu juga sebagian besar ETH yang dijembatani ke jaringan Layer 2 awal. Token wrapped mewakili klaim atas aset asli yang terkunci. Saat pengguna ingin kembali, mereka membakar token wrapped dan kunci di rantai sumber melepaskan asetnya.

Burn-and-Mint digunakan ketika penerbit token mengontrol suplai di beberapa rantai secara langsung. Alih‑alih wrapping, token dibakar di rantai sumber (mengurangi suplai total di sana) dan dicetak baru di rantai tujuan. Cross-Chain Transfer Protocol (CCTP) milik Circle untuk USD Coin (USDC) beroperasi seperti ini. Karena Circle sendiri yang mengotorisasi pencetakan, tidak ada kumpulan token terkunci yang bisa dicuri penyerang, tetapi Anda sepenuhnya mempercayai Circle.

Jembatan Liquidity Pool seperti yang digunakan Hop Protocol dan Across Protocol bekerja secara berbeda. Alih‑alih mengunci aset dan mencetak representasi, mereka mengandalkan penyedia likuiditas yang memegang token native di kedua sisi. Pengguna menyetor di rantai sumber, dan penyedia likuiditas di rantai tujuan langsung mengirim token native ekuivalen kepada mereka. LP kemudian diganti dananya melalui protokol. Pendekatan ini lebih cepat dan menghindari token wrapped, tetapi bergantung pada kecukupan likuiditas dan memperkenalkan risiko rekanan pada LP.

Light-Client Verification adalah desain yang paling meminimalkan kepercayaan sekaligus paling sulit dibangun. Di sini, rantai tujuan menjalankan bukti kriptografis dari konsensus rantai sumber langsung di dalam smart contract atau sirkuit ZK. Tidak diperlukan komite validator eksternal, matematika membuktikan bahwa setoran benar‑benar terjadi. IBC (Inter-Blockchain Communication), standar jembatan yang digunakan di seluruh rantai Cosmos (ATOM), mendekati model ini. Jembatan berbasis ZK seperti SP1 milik Succinct dan zkBridge milik Polyhedra mendorong konsep ini lebih jauh dengan menggunakan zero-knowledge proof untuk memverifikasi transisi state dengan biaya murah.

Mengapa Jembatan Mengonsentrasikan Begitu Banyak Risiko

Permukaan serangan jembatan secara fundamental berbeda dari permukaan serangan satu blockchain tunggal. Rantai seperti Ethereum diamankan oleh ratusan miliar dolar ETH yang di‑stake dan ratusan ribu validator. Mengkompromikannya membutuhkan pengambilalihan sebagian besar set validator sekaligus, serangan yang hampir mustahil dilakukan secara ekonomis.

Kumpulan validator jembatan sering kali jauh lebih kecil. Jembatan Ronin, yang melayani game Axie Infinity pada sidechain miliknya sendiri, diamankan hanya oleh sembilan node validator. Penyerang hanya butuh mengendalikan lima di antaranya untuk mengotorisasi penarikan. Lazarus Group, organisasi peretasan yang disponsori negara Korea Utara, mengkompromikan lima private key melalui kombinasi phishing dan tawaran pekerjaan palsu. Mereka mengotorisasi penarikan fiktif senilai $625 juta. Blockchain Ethereum dan Ronin yang mendasarinya tidak tersentuh.

Peretasan Ronin tidak merusak blockchain. Ia merusak komite validator sembilan‑dari‑sembilan di mana lima kunci dipegang secara tidak aman. Jembatan itu sendiri adalah titik terlemah secara desain.

Inilah masalah struktural jembatan dengan validator eksternal. Keamanannya tidak diwariskan dari rantai yang mereka hubungkan; ia merupakan sistem terpisah, sering kali lebih kecil dan kurang teruji pertempuran. Semakin banyak nilai yang dipegang jembatan, semakin menarik ia sebagai target, tetapi model keamanannya tidak otomatis meningkat seiring membesarnya aset dalam kustodi.

Eksploit Wormhole pada Februari 2022 berbeda dari sisi mekanisme tetapi serupa dalam hasil. Seorang penyerang menemukan bug di smart contract Wormhole di Solana yang memungkinkan mereka memalsukan peristiwa “guardian signature verification”. Mereka meyakinkan kontrak bahwa 120.000 ETH telah disetor di Ethereum padahal tidak, dan mencetak $320 juta ETH wrapped di Solana. Tidak ada validator yang dikompromikan. Kerentanan berada di logika kontrak itu sendiri. Jump Crypto, pendukung Wormhole, mengganti dana dalam 24 jam, yang mencegah kejatuhan pasar tetapi tidak menghapus cacat dasarnya.

Peran Validator dan Oracle

Sebagian besar jembatan yang bukan sistem light-client murni bergantung pada semacam pengamat eksternal untuk mengonfirmasi bahwa setoran terjadi dan mengotorisasi pencetakan atau pelepasan yang sesuai.

Pengamat ini punya berbagai nama — validator, relayer, guardian, attestor — tetapi mereka menjalankan fungsi yang sama: mengawasi satu rantai dan melaporkan state ke rantai lain.

Pertanyaan kepercayaannya selalu: apa yang diperlukan agar para pengamat ini mau/terpaksa berbohong?

Dalam model multisig, jawabannya adalah “mengkompromikan cukup banyak kunci.” Dalam model berbasis oracle, jawabannya bisa “memanipulasi feed harga atau data blok yang dilaporkan oracle.” Dalam model validator proof-of-stake, jawabannya adalah “menguasai cukup stake untuk mengendalikan supermayoritas.”

LayerZero menggunakan model di mana setiap aplikasi mengonfigurasi sendiri kumpulan oracle dan relayer‑nya, menciptakan keamanan spesifik aplikasi alih‑alih satu set validator jembatan bersama. Ini memindahkan risiko dari “satu jembatan gagal, semuanya gagal” menjadi “setiap aplikasi menanggung risikonya sendiri,” yang merupakan peningkatan bermakna dari sisi isolasi tetapi menempatkan lebih banyak tanggung jawab pada pengembang untuk mengonfigurasi keamanan dengan benar.

Axelar menggunakan jaringan proof-of-stake dengan validatornya sendiri untuk mengamati peristiwa lintas rantai. Keamanan jembatan dengan demikian terikat pada nilai token Axelar yang di‑stake oleh validator, model yang mirip dengan blockchain Layer 1, tetapi khusus untuk pesan lintas rantai.

Tantangan fundamentalnya adalah Anda tidak bisa secara native memverifikasi state rantai asing tanpa menjalankan full node rantai tersebut, yang mahal. Pendekatan light-client dan ZK menyelesaikannya secara kriptografis. Semua yang lain melibatkan kepercayaan pada perantara agar melapor dengan jujur.

Bagaimana ZK Proof Mengubah Keamanan Jembatan

Zero-knowledge proof adalah solusi jangka panjang paling menjanjikan untuk masalah kepercayaan pada jembatan. ZK proof memungkinkan satu pihak membuktikan kepada pihak lain bahwa sebuah pernyataan benar, seperti “transaksi ini telah dimasukkan ke dalam blok final di Ethereum”, tanpa verifikator harus memutar ulang semua komputasi sendiri.

Diterapkan pada jembatan, ini berarti rantai tujuan dapat memverifikasi peristiwa di rantai sumber secara kriptografis, tanpa memercayai validator eksternal mana pun. Buktinya sendiri adalah atestasi. Validator yang dikompromikan tidak dapat memalsukan bukti ZK yang valid. Tidak ada private key yang bisa dicuri. Keamanannya berasal dari matematikanya.

Tantangan praktisnya adalah biaya komputasi. Menghasilkan bukti ZK untuk konsensus rantai penuh (seperti agregasi tanda tangan BLS Proof of Stake Ethereum atas ribuan validator) memerlukan kerja komputasi yang substansial, meskipun biaya ini telah turun drastis seiring kematangan teknologi pembuktian ZK. Tim seperti Succinct Labs, =nil; Foundation, dan Polyhedra membangun sistem pembuktian yang dioptimalkan secara khusus untuk verifikasi state blockchain.

TAC, Layer 1 yang sedang tren di CoinGecko, mengambil pendekatan spesifik terhadap masalah ini: ia menjembatani ekosistem pengembang EVM Ethereum ke TON (The Open Network) dan basis pengguna Telegram, menggunakan model validator dan pembuktian hibrida. Proyek seperti TAC menggambarkan permintaan praktis untuk bridge; Telegram memiliki sekitar 950 juta pengguna aktif bulanan, dan menghubungkan audiens tersebut ke aplikasi yang kompatibel dengan Ethereum memerlukan tepat jenis infrastruktur lintas rantai yang disediakan bridge.

Trade-off pada ZK bridge saat ini adalah latensi. Menghasilkan bukti untuk blok Ethereum yang sudah final dapat memakan waktu beberapa menit. Untuk aplikasi yang memerlukan finalitas cepat, bridge optimistis dengan jendela fraud-proof masih sering lebih disukai, dengan menerima penundaan penarikan yang lebih lama (biasanya 7 hari pada optimistic rollup besar) sebagai imbalan atas kesederhanaan.

Also Read: Chainlink’s Wallet Record Turns LINK’s $9 Rebound Into The Main Test

Native Bridge Versus Third-Party Bridge

Saat Anda memindahkan aset antara Layer 1 dan rollup Layer 2-nya, Anda biasanya menggunakan "native bridge", yaitu bridge yang dibangun dan dikelola oleh tim rollup itu sendiri, terintegrasi secara mendalam dengan model keamanan rollup tersebut. Native bridge milik Arbitrum (ARB), native bridge milik Optimism (OP), dan native bridge zkSync semuanya termasuk dalam kategori ini.

Native bridge mewarisi banyak jaminan keamanan dari rollup itu sendiri. Pada optimistic rollup, penarikan yang curang dapat ditantang selama jendela fraud proof 7 hari. Pada ZK rollup, penarikan hanya difinalkan setelah bukti ZK yang valid atas batch transaksi diposting ke Ethereum. Ini merupakan jaminan yang secara bermakna lebih kuat daripada sebagian besar third-party bridge.

Trade-off‑nya adalah native bridge hanya berjalan satu arah: dari L1 ke L2 dan kembali. Mereka tidak dapat menjembatani aset Ethereum ke Solana, atau memindahkan aset langsung melintasi dua L2 yang terpisah. Untuk perpindahan lintas ekosistem, Ethereum ke Solana, atau Arbitrum ke Polygon (POL), pengguna harus menggunakan third-party bridge, yang membawa risiko validator dan smart contract seperti dijelaskan di atas.

Ini menciptakan taksonomi praktis: gunakan native bridge untuk perpindahan L1‑ke‑L2 ketika keamanan menjadi prioritas, dan gunakan third-party bridge yang telah diaudit dan punya rekam jejak untuk perpindahan lintas ekosistem ketika Anda menerima risiko tambahan tersebut. Memeriksa apakah sebuah bridge telah diaudit oleh firma keamanan bereputasi (Trail of Bits, OpenZeppelin, Certik, Spearbit) dan meninjau riwayat eksploit sebelumnya adalah due diligence minimal sebelum menggunakan layanan transfer lintas rantai apa pun.

Also Read: Russian Hackers Found A Signal Weak Spot In Recovery Keys

Siapa Sebenarnya yang Perlu Menggunakan Bridge

Bridge tidak diperlukan bagi sebagian besar pengguna kripto kasual. Jika Anda memegang Bitcoin (BTC) atau Ethereum (ETH) di bursa terpusat dan hanya menginginkan eksposur terhadap pergerakan harga, Anda sama sekali tidak akan bersentuhan dengan bridge.

Anda memerlukan bridge ketika ingin menggunakan aplikasi yang berada di chain berbeda dari tempat aset Anda berada. Jika ETH Anda ada di Ethereum mainnet tetapi Anda ingin menggunakan protokol DeFi di Arbitrum, Anda menjembatani melalui native bridge Arbitrum. Jika Anda ingin menggunakan aplikasi native Solana dengan USDC yang awalnya berada di Ethereum, Anda menggunakan third-party bridge.

Pengembang yang membangun aplikasi lintas rantai adalah pengguna bridge terberat. Protokol apa pun yang ingin mengagregasi likuiditas di banyak chain, atau gim apa pun yang ingin memungkinkan pemain menggunakan aset di berbagai jaringan, memerlukan infrastruktur bridging yang tertanam dalam produknya. Inilah mengapa proyek seperti LayerZero, Axelar, Wormhole, dan Hyperlane memposisikan diri sebagai "protokol messaging omni-chain" alih‑alih sekadar bridge: mereka adalah infrastruktur untuk pengembang, bukan hanya pengguna akhir yang memindahkan token.

Bagi pengguna biasa, panduan praktisnya sederhana. Gunakan canonical native bridge saat berpindah antara L1 dan L2 besar. Untuk third-party bridge, batasi eksposur hanya pada jumlah yang siap Anda tanggung kehilangannya, periksa riwayat audit, dan utamakan bridge yang telah beroperasi tanpa insiden setidaknya selama satu tahun dengan TVL yang bermakna. Pendekatan "bridge pelan‑pelan, bridge kecil" bukanlah sikap penakut, melainkan mencerminkan profil risiko jujur dari teknologi sebagaimana adanya hari ini.

Also Read: Claude Fable 5 May Return As Washington Softens Anthropic Standoff

Pemikiran Akhir

Bridge lintas rantai menyelesaikan masalah yang nyata dan tak terhindarkan.

Blockchain adalah sistem yang berdaulat. Tanpa bridge, kripto akan menjadi kumpulan silo terisolasi di mana aset dan aplikasi tidak pernah berinteraksi.

Interoperabilitas yang dihadirkan bridge menopang sebagian besar DeFi, gaming, dan ekosistem multi‑chain yang sedang aktif dibangun oleh proyek seperti TAC.

Peretasan yang terjadi bukan bukti bahwa bridge secara inheren rusak.

Itu adalah bukti bahwa desain bridge awal membuat trade-off keamanan yang agresif — komite validator kecil, logika smart contract yang tidak diaudit, ketergantungan oracle — yang tidak sebanding dengan nilai yang akhirnya mereka kelola.

Setiap eksploit besar telah mendorong industri menuju desain yang lebih baik: set validator yang lebih besar, verifikasi formal, sistem pembuktian berbasis ZK, dan native rollup bridge yang secara langsung mewarisi keamanan L1.