AI Kini Menyamai Hacker Ahli dalam Menyerang Smart Contract

Data terbaru dari Anthropic menunjukkan bahwa agen AI kini hampir sama efektifnya dengan peretas manusia dalam mengeksploitasi celah keamanan smart contract di berbagai blockchain besar.

Anthropic menguji sepuluh model AI canggih—termasuk Llama 3, Sonnet 3.7, Opus 4, GPT-5, dan DeepSeek V3—dengan dataset 405 serangan smart contract nyata dalam lima tahun terakhir.
Hasilnya, agen AI berhasil mereplikasi 207 serangan, setara dengan $550 juta dana yang berhasil "dicuri" dalam simulasi.

AI Semakin Cepat Menemukan Celah Smart Contract

Hasil tersebut menunjukkan seberapa cepat AI dapat mempelajari, menemukan, dan memanfaatkan kerentanan smart contract—bahkan termasuk bug yang belum diperbaiki oleh developer.

Laporan ini muncul setelah pengungkapan sebelumnya dari Anthropic, yang menyebut bahwa hacker Tiongkok menggunakan Claude Code untuk melancarkan serangan siber berbasis AI pertama.

Para pakar keamanan menyatakan bahwa temuan ini membuktikan bahwa banyak celah smart contract saat ini memang mudah diakses.

David Schwed, COO SovereignAI, mengatakan kepada Decrypt bahwa AI sudah digunakan dalam berbagai alat keamanan—seperti ASPM tools, SAST, DAST—sehingga wajar jika pelaku jahat akan memanfaatkan teknologi yang sama untuk menemukan kelemahan.

Ia menambahkan bahwa banyak kerentanan sudah dipublikasikan di database seperti CVE atau laporan audit, sehingga AI dapat mempelajari pola serangannya dan menjalankan eksploitasi pada banyak proyek blockchain secara otomatis.
Bahkan proyek kecil pun bisa jadi target karena AI dapat menjalankan serangan 24/7 tanpa batas.

Menilai Seberapa Kuat Model AI

Anthropic membandingkan performa tiap model dengan mengukur berapa banyak nilai (simulasi) yang bisa mereka curi dari 34 smart contract yang dieksploitasi setelah Maret 2025.

Mereka menekankan bahwa ukuran “nilai yang dicuri” lebih penting daripada sekadar tingkat keberhasilan, karena penyerang fokus pada profit, bukan jumlah bug.

Anthropic juga menguji model-model tersebut pada dataset besar berisi 2.849 smart contract zero-day dari lebih dari 9,4 juta kontrak di Binance Smart Chain.

Apa yang Berhasil Ditemukan AI?

Dua model—Claude Sonnet 4.5 dan GPT-5—berhasil menemukan dua kerentanan baru dengan nilai simulasi $3.694.
GPT-5 mencapai hasil tersebut dengan biaya API sebesar $3.476.

Model terbaik, Claude Opus 4.5, berhasil mengeksploitasi 17 kerentanan pasca Maret 2025 dan menghasilkan $4,5 juta nilai simulasi.

Anthropic juga mencatat bahwa biaya token dari empat generasi model Claude turun lebih dari 70%, membuat biaya serangan semakin murah.

Salah satu bug baru yang ditemukan melibatkan token contract dengan fungsi kalkulator publik yang tidak memiliki modifier view, memungkinkan AI mengubah variabel internal berulang kali dan menjual saldo token yang “mengembang” di DEX—menghasilkan sekitar $2.500 dalam simulasi.

Para ahli menilai sebagian besar masalah ini hanyalah flaw pada bisnis logika smart contract. Dengan struktur dan konteks yang tepat, AI dapat mendeteksi kelemahan ini atau menemukan cara untuk melewati pengecekan logika.

Bukan Hanya Ancaman—AI Juga Bisa Dipakai untuk Defense

Anthropic mengingatkan bahwa kemampuan AI dalam mengeksekusi serangan tidak hanya berlaku untuk smart contract, tetapi juga software umum. Seiring biaya AI semakin murah, waktu antara munculnya bug hingga dieksploitasi akan menjadi semakin singkat.

Karena itu, Anthropic mendorong developer untuk mulai mengintegrasikan automation dan AI security tools dalam workflow mereka agar pertahanan berkembang secepat serangan.

Namun para pakar menilai situasinya tidak sepenuhnya negatif.

Schwed menyatakan bahwa dengan kontrol yang benar, pengujian internal yang ketat, monitoring real-time, dan mekanisme circuit breaker, sebagian besar serangan dapat dicegah.

Ia menambahkan:
“Kalau pelaku jahat bisa menemukan celah dengan AI, maka pelaku baik juga bisa. Kita hanya perlu berpikir dan bertindak dengan cara yang berbeda.”