Pwn2Own Berlin 2026 Resmi Berakhir: Para Peretas Borong Rp20 Miliar untuk 47 Celah Zero-Day

Kompetisi peretasan internasional bergengsi, Pwn2Own Berlin 2026, yang berlangsung di sela-sela konferensi OffensiveCon (14–16 Mei 2026) telah resmi ditutup. Ajang yang berfokus pada teknologi enterprise dan kecerdasan buatan (AI) ini mencatatkan total hadiah fantastis sebesar $1.298.250 (sekitar Rp20,5 miliar) yang diberikan kepada para peneliti keamanan setelah sukses membongkar 47 celah keamanan zero-day unik.

Seluruh target dalam kompetisi ini merupakan perangkat lunak dan sistem komersial dalam kondisi pembaruan paling mutakhir (fully patched). Berdasarkan regulasi, para vendor kini memiliki waktu 90 hari untuk merilis tambalan (patch) resmi sebelum detail teknis kerentanan tersebut dibuka ke publik oleh Trend Micro’s Zero Day Initiative (ZDI).

Akumulasi Perolehan Hadiah Selama 3 Hari

Para kontestan menunjukkan dominasi yang konsisten sepanjang kompetisi dengan rincian pendapatan harian sebagai berikut:

• Hari Pertama: $523.000 dikumpulkan untuk eksploitasi 24 celah zero-day.
• Hari Kedua: $385.750 diraih setelah menumbangkan 15 celah zero-day.
• Hari Ketiga: $389.500 dibawa pulang pada babak final untuk 8 celah zero-day terakhir.

DEVCORE Sabet Gelar “Master of Pwn”

Tim riset asal Taiwan, DEVCORE, keluar sebagai juara umum dan menyabet gelar bergengsi Master of Pwn dengan mengumpulkan 50,5 poin serta total hadiah $505.000 (hampir Rp8 miliar). Sepanjang tiga hari kompetisi, mereka sukses membobol platform-platform raksasa seperti Microsoft SharePoint, Microsoft Exchange, Microsoft Edge, dan Windows 11.

Posisi kedua ditempati oleh STAR Labs SG dengan total hadiah $242.500 (25 poin), diikuti oleh tim Out Of Bounds di posisi ketiga dengan raihan $95.750 (12,75 poin).

Sorotan Utama Ekstrem Sepanjang Kompetisi

• Rekor Hadiah Tertinggi: Hadiah tunggal terbesar sebesar $200.000 diraih oleh Cheng-Da Tsai (Orange Tsai) dari DEVCORE setelah merangkai (chaining) tiga bug untuk melakukan Remote Code Execution (RCE) dengan hak akses tertinggi (SYSTEM) pada Microsoft Exchange Server. Ia juga mengantongi $175.000 di hari pertama lewat pelarian sandbox Microsoft Edge.
• Keamanan OS & Kontainer: Windows 11 dan Red Hat Enterprise Linux (RHEL) for Workstations menjadi bulan-bulanan setelah berkali-kali tumbang dari hari pertama hingga hari ketiga melalui celah eskalasi hak akses (local privilege escalation). Sementara Valentina Palmiotti (chompie) dari IBM X-Force mengamankan $70.000 untuk eksploitasi RHEL dan NVIDIA Container Toolkit.
• Target Hari Ketiga: Pada hari penutupan, selain mengeksploitasi ulang Windows 11 dan RHEL, para kontestan berhasil menembus platform virtualisasi enterprise VMware ESXi dengan memanfaatkan bug korupsi memori (memory corruption). Kategori AI coding agent dan LLM lokal juga dikonfirmasi mengalami eksploitasi parah pada hari kedua.

Sebagai perbandingan, total hadiah pada Pwn2Own Berlin tahun lalu berada di angka $1.078.750 untuk 29 celah zero-day, yang menandakan bahwa intensitas dan nilai temuan pada tahun 2026 ini mengalami peningkatan yang cukup signifikan.