Hacker Bobol Garden Finance, Aset Rp 201 Miliar Raib

Liputan6.com, Jakarta - Platform bridge kripto Garden Finance mengalami peretasan besar yang menyebabkan kerugian sekitar USD 11,4 juta atau setara Rp 201 miliar (estimasi kurs Rp 17.676 per dolar AS). Serangan tersebut terjadi setelah hacker berhasil membobol salah satu operator solver independen milik platform tersebut.

Dalam laporan insiden yang dirilis pada 28 Januari 2026, dikutip dari CoinMarketCap, Senin (18/5/2026), Garden Finance menjelaskan bahwa pelaku memperoleh akses tidak sah ke infrastruktur private milik operator solver. Akibatnya, aset kripto di berbagai blockchain seperti Ethereum, Solana, dan BNB Chain berhasil dikuras.

Meski demikian, Garden menegaskan kontrak inti protokol dan dana pengguna tidak terdampak dalam insiden tersebut.

Co-founder Garden Finance, Jaz Gulati, sebelumnya telah mengonfirmasi serangan itu pada 31 Oktober 2025 kepada Cybernews. Ia menyebut platform mengalami kerugian sekitar USD 11 juta, namun menekankan sistem protokol utama tetap aman.

Berdasarkan kronologi yang dipublikasikan, eksploitasi diperkirakan terjadi sekitar 30 Oktober 2025. Hanya beberapa jam setelah serangan terjadi, Garden langsung mengirim pesan bounty kepada alamat wallet milik hacker melalui jaringan blockchain.

Dalam pesan tersebut, Garden menawarkan hadiah sebesar 10 persen dari total aset curian apabila pelaku mengembalikan sisa dana ke alamat pemulihan yang telah disiapkan.

Namun, tawaran tersebut tidak mendapat respons dari pelaku.

Disclaimer: Setiap keputusan investasi ada di tangan pembaca. Pelajari dan analisis sebelum membeli dan menjual Kripto. Liputan6.com tidak bertanggung jawab atas keuntungan dan kerugian yang timbul dari keputusan investasi.

Garden Finance menjelaskan bahwa sistem bridge mereka mengandalkan operator solver independen, yakni pihak ketiga yang bertugas memfasilitasi transaksi lintas blockchain dengan mencocokkan dan menyelesaikan order pengguna. Operator solver memiliki infrastruktur tersendiri yang terpisah dari kontrak utama protokol penyimpanan likuiditas pengguna.

Menurut laporan insiden, celah keamanan sepenuhnya terjadi pada lingkungan solver, bukan pada smart contract inti Garden Finance. Dengan kata lain, hacker tidak membobol kontrak utama protokol, melainkan mengakses sistem privat milik operator solver.

Garden menegaskan dana pengguna tidak berada dalam risiko karena aset yang dicuri berasal dari modal milik solver sendiri, bukan dari deposit pengguna.

Meski demikian, insiden ini kembali menunjukkan bahwa keamanan bridge kripto tidak hanya bergantung pada audit smart contract. Infrastruktur off-chain seperti server operator juga menjadi titik rawan yang dapat memicu kerugian besar.

Pada 7 November 2025, media Protos melaporkan lebih dari USD 6 juta aset ether dan BNB hasil curian telah dipindahkan ke Tornado Cash, layanan crypto mixer yang saat ini berada di bawah sanksi Amerika Serikat.

Saat itu, hacker disebut masih menguasai sejumlah aset lainnya.

Dalam proses investigasi, Garden Finance menggandeng EY dan perusahaan forensik blockchain zeroShadow untuk melacak pelaku dan aliran dana curian. Insiden tersebut juga telah dilaporkan kepada aparat penegak hukum setempat.

Berdasarkan analisis forensik yang belum terkonfirmasi secara resmi, zeroShadow menduga serangan tersebut berkaitan dengan kelompok peretas DangerousPassword yang disebut berafiliasi dengan Korea Utara.

Namun, dugaan tersebut masih bersifat analisis investigatif dan belum menjadi kesimpulan resmi dari otoritas hukum.

Di sisi lain, investigator blockchain ZachXBT menuding operator solver yang diretas kemungkinan memiliki hubungan dengan anggota tim Garden Finance, bukan operator independen sepenuhnya. Klaim itu belum ditanggapi dalam laporan resmi Garden dan masih belum terverifikasi.

Insiden Garden Finance menambah daftar panjang peretasan bridge lintas blockchain yang sebelumnya juga mengguncang industri decentralized finance (DeFi). Meski dana pengguna dinyatakan aman, kasus tersebut tetap memunculkan pertanyaan mengenai keamanan infrastruktur, transparansi, dan pengawasan terhadap operator pihak ketiga.