Eksploitasi Smart Contract AI: Pakar Memperingatkan Agen Dapat Memicu Kerugian Tahunan $10–20 Miliar di Sektor DeFi

Sebuah studi terbaru oleh MATS dan Anthropic Fellows menegaskan bahwa agen AI dapat secara menguntungkan mengeksploitasi kerentanan smart contract, menetapkan “batas bawah konkret” untuk kerugian ekonomi.

Eksploitasi Baru dan Penurunan Biaya yang Mengkhawatirkan

Dorongan yang semakin cepat untuk mengotomatisasi tugas manusia dengan agen Kecerdasan Buatan (AI) kini menghadapi kelemahan signifikan yang dapat diukur: agen-agen ini dapat secara menguntungkan mengeksploitasi kerentanan smart contract. Sebuah studi terbaru dari MATS dan Anthropic Fellows menggunakan tolok ukur Smart CONtracts Exploitation (SCONE-bench) untuk mengukur risiko ini.

Studi tersebut berhasil menggunakan model seperti Claude Opus 4.5, Claude Sonnet 4.5, dan GPT-5 untuk mengembangkan eksploitasi yang disimulasikan bernilai $4,6 juta. SCONE-bench terdiri dari 405 smart contract yang benar-benar dieksploitasi antara 2020 dan 2025. Dalam laporan studi tanggal 1 Desember, tim menyatakan bahwa keberhasilan agen AI dalam mengembangkan eksploitasi yang diuji pada simulator blockchain menetapkan “batas bawah konkret untuk kerugian ekonomi yang dapat dimungkinkan oleh kemampuan ini.”

Penelitian ini melangkah lebih jauh dengan menguji Sonnet 4.5 dan GPT-5 terhadap 2.849 kontrak yang baru saja diterapkan tanpa kerentanan yang diketahui. Agen-agen ini membuktikan bahwa mereka dapat menghasilkan eksploitasi yang menguntungkan bahkan di lingkungan baru ini: Kedua agen menemukan dua kerentanan zero-day baru dan menghasilkan eksploitasi senilai $3.694. GPT-5 mencapai keberhasilan ini dengan biaya API hanya $3.476.

Baca selengkapnya: Dari DeFi ke Defcon: TRM Peringatkan Serangan Siber oleh Negara

Hasil ini menjadi bukti konsep atas kelayakan teknis eksploitasi otonom di dunia nyata yang menguntungkan, menekankan kebutuhan segera akan mekanisme pertahanan berbasis AI secara proaktif.

Mungkin temuan yang paling mengkhawatirkan adalah peningkatan efisiensi yang dramatis: seorang penyerang kini dapat melakukan sekitar 3,4 kali lebih banyak eksploitasi yang berhasil dengan anggaran komputasi yang sama seperti enam bulan lalu. Selain itu, biaya token untuk eksploitasi yang berhasil telah turun drastis sebesar 70%, membuat agen-agen yang kuat ini menjadi jauh lebih murah untuk dijalankan.

Peran Agentic Loops dan Peningkatan Model

Jean Rausis, salah satu pendiri SMARDEX, mengaitkan penurunan biaya tajam ini terutama pada agentic loops. Loop ini memungkinkan alur kerja multi-langkah yang dapat memperbaiki diri sendiri sehingga mengurangi pemborosan token selama analisis kontrak. Rausis juga menyoroti peran peningkatan arsitektur model:

“Jendela konteks yang lebih besar dan alat memori pada model seperti Claude Opus 4.5 dan GPT-5 memungkinkan simulasi berkelanjutan tanpa pengulangan, meningkatkan efisiensi sebesar 15-100% pada tugas-tugas panjang.”

Ia mencatat bahwa peningkatan optimalisasi ini melampaui peningkatan deteksi kerentanan mentah (yang hanya meningkatkan keberhasilan pada SCONE-bench dari 2% menjadi 51%), karena mereka fokus pada optimalisasi waktu proses alih-alih sekadar menemukan kelemahan.

Meskipun studi ini menetapkan biaya simulasi sebesar $4,6 juta, para ahli khawatir biaya ekonomi sebenarnya bisa jauh lebih tinggi. Rausis memperkirakan risiko riil bisa 10-100x lebih besar, berpotensi mencapai $50 juta hingga $500 juta atau lebih per eksploitasi besar. Ia memperingatkan bahwa dengan peningkatan skala AI, total eksposur sektor—dengan mempertimbangkan leverage yang tidak dimodelkan dan kegagalan oracle—bisa mencapai $10–20 miliar per tahun.

Makalah MATS dan Anthropic Fellows menyimpulkan dengan peringatan: meskipun smart contract mungkin menjadi target awal gelombang serangan otomatis ini, perangkat lunak proprietary kemungkinan akan menjadi target berikutnya seiring agen-agen ini menjadi lebih baik dalam reverse engineering.

Yang penting, makalah ini juga mengingatkan bahwa agen AI yang sama dapat digunakan untuk pertahanan guna menambal kerentanan. Untuk mengurangi ancaman keuangan sistemik dari serangan DeFi yang mudah diotomatisasi, Rausis mengusulkan rencana aksi tiga langkah bagi pembuat kebijakan dan regulator: pengawasan AI, standar audit baru, dan koordinasi global.

FAQ ❓

• Apa yang diungkap studi tentang agen AI? Model AI seperti GPT‑5 dan Claude mengeksploitasi smart contract senilai $4,6M dalam simulasi.
• Mengapa risiko ini meningkat secara global? Biaya token untuk eksploitasi turun 70%, sehingga serangan menjadi lebih murah dan lebih mudah diskalakan lintas wilayah.
• Apakah dampak finansial bisa melampaui DeFi? Para ahli memperingatkan kerugian nyata bisa mencapai $50M–$500M per eksploitasi, dengan eksposur global hingga $20B per tahun.
• Bagaimana regulator dan pengembang dapat merespons? Peneliti mendorong pengawasan AI, standar audit yang lebih kuat, dan koordinasi lintas negara untuk melindungi sistem.