ALEX Protocol, salah satu platform decentralized finance (DeFi) berbasis Bitcoin yang berjalan di jaringan Stacks, kembali menjadi sasaran serangan siber pada Jumat, 6 Juni 2025.
Insiden ini menyebabkan kerugian senilai lebih dari $8,3 juta atau sekitar Rp 134,9 miliar, menjadikannya salah satu insiden peretasan terbesar di ekosistem Stacks hingga saat ini.
Eksploitasi pada Sistem Self-Listing
Menurut pernyataan resmi ALEX Lab melalui akun X (sebelumnya Twitter), serangan tersebut memanfaatkan kerentanan dalam logika verifikasi self-listing pada smart contract mereka.
Celah ini memungkinkan pelaku menghindari mekanisme pemeriksaan dan menguras likuiditas dari berbagai kolam aset dalam waktu singkat.
Aset kripto yang berhasil dicuri meliputi:
- 8.403.867 STX (Stacks) senilai sekitar $5.691.256 atau Rp 92,5 miliar
- 21,85 sBTC (Stacks BTC)
- 2,8 WBTC (Wrapped Bitcoin)
- $149.850 dalam bentuk stablecoin USDC dan USDT
Total estimasi kerugian yang dikonfirmasi tim ALEX Lab mencapai $8.371.106, setara dengan Rp 136,1 miliar, sedangkan firma keamanan QuillAudits menyebut jumlahnya bisa lebih tinggi, yakni $14 juta atau sekitar Rp 227,6 miliar, jika memperhitungkan dampak pasar terhadap nilai aset yang terdampak.
Dampak Pada Ekosistem DeFi Stacks
Efek domino dari insiden ini turut dirasakan oleh sejumlah proyek lain di jaringan Stacks. Bitflow, agregator DEX di ekosistem tersebut, langsung menghapus kolam likuiditas yang terkena dampak.
Sementara itu, proyek jembatan lintas jaringan Pontis memutuskan untuk menangguhkan jembatan mereka demi menjaga dana tetap aman.
Token native ALEX anjlok lebih dari 50% dalam beberapa jam pasca serangan, sementara harga STX sempat turun sekitar 10%. Terpantau pula gejolak harga pada token sBTC dan aBTC yang menunjukkan gejala depeg, meskipun tim Stacks mengklaim harga sebenarnya tetap stabil di feed oracle resmi.
ALEX Jamin Pengembalian Dana 100% kepada Pengguna
Berbeda dari banyak insiden peretasan lain dalam dunia kripto, ALEX Lab mengambil pendekatan proaktif dan menjanjikan pengembalian dana 100% kepada seluruh pengguna yang terdampak.
Dana kompensasi akan dibayarkan dalam bentuk stablecoin USDC dari cadangan dana ALEX Lab Foundation.
Untuk proses klaim, ALEX akan mengirimkan pemberitahuan on-chain kepada wallet terdampak paling lambat 8 Juni 2025, disertai formulir klaim yang harus diisi dan dikonfirmasi sebelum 10 Juni 2025. Setelah verifikasi selesai, dana USDC akan dikirimkan dalam waktu 7 hari kerja.
Peretasan kali ini bukan yang pertama dialami ALEX. Pada Mei 2024, platform ini juga kehilangan $4,3 juta atau sekitar Rp 69,9 miliar akibat eksploitasi terhadap infrastruktur jembatan lintas-rantai (cross-chain bridge).
Serangan tersebut dikaitkan dengan grup peretas siber terkenal asal Korea Utara, Lazarus Group. Meski ALEX telah meningkatkan sistem keamanan sejak insiden tersebut, eksploitasi kali ini menunjukkan bahwa kerentanan masih ada.
Ancaman Bagi Ekosistem DeFi Berbasis Bitcoin
Insiden terhadap ALEX memperkuat kekhawatiran terhadap keamanan protokol DeFi, bahkan yang berjalan di atas jaringan sekelas Bitcoin.
Dalam satu hari yang sama, tercatat total kerugian lebih dari $25 juta atau Rp 406 miliar di industri kripto akibat beberapa peretasan serupa.
Dengan semakin banyaknya proyek yang mengusung narasi “DeFi di atas Bitcoin”, insiden ini menjadi peringatan bahwa keamanan harus menjadi prioritas utama.
Eksploitasi terhadap ALEX Protocol menjadi sinyal peringatan serius bagi proyek-proyek DeFi yang beroperasi di jaringan Bitcoin.
Meskipun ALEX menunjukkan itikad baik dengan mengganti seluruh kerugian pengguna, celah keamanan yang terus berulang menunjukkan bahwa tantangan teknologi dan manajemen risiko di sektor ini masih sangat besar.