Kerentanan DeFi yang Sering Terjadi: Apa Sinyal yang Dikeluarkan oleh Acara Scallop?
2026/05/05 09:50:23
Platform DeFi menjanjikan keuangan terbuka tanpa perantara, namun eksploitasi berulang terus menguji kepercayaan pengguna. Insiden Scallop pada 26 April 2026 menonjol bukan karena skalanya, tetapi karena cara itu mengungkap risiko sehari-hari yang sering diabaikan oleh pengembang dan pengguna. Serangan flash loan menguras sekitar 150.000 SUI, senilai sekitar $142.000 pada saat itu, dari kontrak hadiah sampingan yang terkait dengan spool sSUI protokol di blockchain Sui. Kolam peminjaman inti tetap tidak tersentuh, dan tim Scallop dengan cepat membekukan kontrak yang terdampak, melanjutkan operasi, dan berjanji menanggung seluruh kerugian dari sumber daya mereka sendiri.
Acara ini menunjukkan bagaimana protokol yang sudah mapan di rantai yang lebih baru menghadapi kejutan dari kode yang bertahan lama setelah penggunaannya dimaksudkan berakhir. Ini menjadi sinyal jelas bahwa pertumbuhan cepat DeFi melampaui upaya pembersihan, meninggalkan pintu tersembunyi terbuka bagi penyerang yang menggabungkan kelemahan lama dengan taktik modern seperti flash loan dan manipulasi oracle.
Bagaimana Serangan Scallop Terungkap Secara Real Time
Pada 26 April 2026, Scallop memposting pemberitahuan keamanan pada pukul 12:50 UTC yang merinci pelanggaran tersebut. Seorang penyerang menargetkan kontrak hadiah V2 yang sudah tidak digunakan lagi, yang awalnya dideploy pada November 2023 untuk kolam hadiah sSUI. Kontrak ini telah tidak digunakan selama sekitar 17 bulan. Kelemahan tersebut berpusat pada variabel “last_index” yang tidak diinisialisasi di akun spool baru, yang memungkinkan penyerang mengklaim hadiah retroaktif dalam jumlah besar setara dengan akumulasi selama 20 bulan.
Laporan melaporkan eksploitasi tersebut sebagai pinjaman kilat yang dikombinasikan dengan manipulasi harga oracle, memungkinkan penyerang untuk meminjam aset dengan suku bunga yang terdistorsi, menarik nilai, dan membayar kembali dalam satu transaksi yang sama. Tim mengisolasi masalah tersebut, membekukan kontrak, dan memastikan bahwa setoran pengguna utama serta fungsi pasar uang inti tetap aman. Operasi dilanjutkan tak lama setelahnya, dengan protokol menekankan bahwa kontrak sampingan tidak berdampak pada aktivitas peminjaman utama. Respons cepat ini mencegah penyebaran luas, namun insiden tersebut tetap menarik perhatian di komunitas kripto yang memantau kerugian harian.
Kerentanan Teknis yang Tersembunyi di Mata Publik selama 17 Bulan
Kerentanan tersebut ada pada mekanisme hadiah lama yang tidak lagi menggerakkan insentif pengguna aktif. Pengembang telah beralih ke versi yang lebih baru, tetapi paket lama tetap dapat dipanggil di blockchain Sui. Penyerang memanfaatkan ini dengan membuat akun spool di mana indeks yang tidak diinisialisasi berperilaku sedemikian rupa sehingga secara drastis meningkatkan perhitungan hadiah. Setelah poin terakumulasi, penyerang mengonversinya menjadi SUI tokens nyata dari pool. Analis keamanan mencatat bahwa desain kontrak mengasumsikan inisialisasi yang tepat, sebuah kekeliruan umum ketika kode ditinggalkan tanpa penghapusan penuh atau kontrol akses.
Kasus ini menunjukkan bagaimana blockchain menyimpan setiap kontrak yang dideploy selamanya, mengubah modul yang terlupakan menjadi potensi tanggung jawab. Pembekuan cepat oleh Scallop menghentikan penarikan lebih lanjut, tetapi peristiwa ini menimbulkan pertanyaan tentang bagaimana tim menangani pensiunan kode di jaringan berkecepatan tinggi seperti Sui, di mana kecepatan transaksi mendorong pembaruan sering tanpa selalu membersihkan masa lalu.
Mengapa Kontrak yang Dihentikan Terus Menyebabkan Masalah di DeFi
Banyak protokol meluncurkan fitur, mengujinya, lalu beralih fokus ke peningkatan atau integrasi baru. Kontrak lama tetap berada di blockchain karena menghapusnya sepenuhnya dapat merusak data historis atau memerlukan migrasi yang kompleks. Dalam kasus Scallop, spool hadiah V2 tidak mengalami aktivitas bermakna selama lebih dari satu tahun, namun tetap menyimpan cukup SUI untuk membuat eksploitasi ini layak. Pola serupa muncul di berbagai ekosistem: tim memprioritaskan pertumbuhan dan TVL baru daripada audit menyeluruh terhadap bagian-bagian lama.
Hasilnya meninggalkan vektor bagi penyerang yang memindai kode yang tidak terawat menggunakan alat otomatis. Insiden Scallop menambah pola di mana kerugian kecil dan terisolasi tetap menandakan kesenjangan pemeliharaan yang lebih luas. Pengguna yang hanya berinteraksi dengan antarmuka saat ini mungkin tidak pernah menyadari bahwa kode yang tidak aktif dapat secara tidak langsung memengaruhi kepercayaan terhadap seluruh platform jika tidak ditangani secara proaktif.
Pinjaman Kilat Bertemu Trik Oracle dalam Eksploitasi Modern
Pinjaman kilat memungkinkan pengguna meminjam jumlah besar tanpa jaminan selama pembayaran dilakukan dalam satu transaksi atomik. Penyerang menggabungkannya dengan manipulasi oracle harga untuk menciptakan kondisi pasar buatan. Dalam peristiwa Scallop, penyerang kemungkinan mendistorsi feed yang terkait dengan kontrak hadiah, memungkinkan peminjaman atau klaim hadiah yang besar sebelum menyelesaikan pinjaman. Taktik ini telah menjadi panduan standar karena tidak memerlukan modal awal dan memanfaatkan ketidaksesuaian sementara dalam sumber data.
Di Sui, dengan model berbasis objek dan finalitas cepatnya, serangan semacam itu dapat dilakukan dengan presisi. Kasus Scallop menunjukkan bagaimana komponen non-inti sekalipun menjadi target ketika oracle memberikan data ke logika reward. Protokol yang menggunakan beberapa oracle atau rata-rata tertimbang waktu bertujuan untuk mengurangi risiko ini, tetapi kontrak lama sering kali tidak memiliki perlindungan tersebut, menciptakan titik masuk mudah bagi pelaku canggih yang memantau aktivitas on-chain.
Respons Scallop dan Keputusan untuk Menutup Kerugian Secara Penuh
Scallop bertindak cepat dengan membekukan kontrak yang rentan dan memberikan pembaruan transparan melalui X. Tim menyatakan bahwa dana pengguna di kolam aktif tidak berisiko dan berkomitmen untuk mengganti seluruh 150.000 SUI dari sumber protokol. Pendekatan ini melindungi para penyetor dan membantu mempertahankan kepercayaan di ruang peminjaman yang kompetitif di Sui. Dengan mengisolasi masalah pada kontrak sampingan, Scallop menghindari penghentian operasi utama, memungkinkan peminjaman dan pemberian pinjaman tetap berlanjut.
Langkah ini mencerminkan bagaimana beberapa protokol memilih asuransi mandiri daripada membiarkan pengguna menanggung kerugian, terutama ketika pelanggaran berasal dari kode non-inti. Pengamat mencatat bahwa respons ini membatasi kerusakan reputasi, meskipun tetap menyoroti biaya nyata yang ditanggung protokol ketika bug muncul. Kompensasi penuh meyakinkan peserta ritel yang mungkin akan menarik dana selama ketidakpastian, sehingga menjaga likuiditas di seluruh ekosistem.
Rangkaian insiden DeFi yang brutal pada April 2026
April 2026 telah mencatat kerugian besar di seluruh sektor, dengan total melebihi $600 juta hanya pada paruh pertama bulan tersebut dari berbagai peristiwa. Kasus-kasus berperingkat tinggi termasuk eksploitasi jembatan Kelp DAO yang menguras sekitar $293 juta dalam bentuk rsETH dan insiden Drift Protocol yang melibatkan sekitar $285 juta. Pelanggaran yang lebih kecil, seperti kerugian $3,5 juta Volo Protocol pada 22 April, cepat menambah jumlah total. Kerugian $142.000 Scallop masuk dalam gelombang ini sebagai salah satu contoh yang lebih terbatas, namun ikut menyumbang pada total bulanan yang menjadikan April tampak sebagai bulan yang sangat menantang.
Data dari perusahaan pelacakan menunjukkan peningkatan baik dalam frekuensi maupun variasi vektor serangan, mulai dari spoofing pesan jembatan hingga rekayasa sosial dan kelemahan kontrak pintar. Konsentrasi insiden di awal tahun mendorong angka tahun ini jauh di atas kuartal sebelumnya, menekan seluruh industri untuk mengeksplorasi mengapa kerugian terus bertambah meskipun ada kematangan yang meningkat di beberapa protokol.
Bagaimana Ekosistem Sui yang Berkembang Menghadapi Pengawasan Baru
Sui telah menempatkan dirinya sebagai Layer 1 berkinerja tinggi dengan arsitektur berpusat pada objek yang mendukung eksekusi paralel dan penyelesaian cepat. Scallop menempati posisi salah satu protokol pasar uang terkemuka di dalamnya, menarik pengguna dengan peluang pinjaman dan imbal hasil yang efisien. Eksploitasi tersebut, meskipun terbatas, membawa perhatian baru terhadap praktik keamanan dalam ekosistem. Rantai-rantai baru sering mengalami peluncuran protokol cepat dan pertumbuhan TVL, tetapi kecepatan ini dapat mengabaikan manajemen warisan yang menyeluruh.
Proyek-proyek berbasis Sui mendapat manfaat dari kekuatan teknis jaringan, namun kasus Scallop menunjukkan bahwa keunggulan tingkat rantai tidak secara otomatis melindungi kontrak pintar individu dari kesalahan desain. Diskusi komunitas berfokus pada apakah siklus pengembangan yang lebih cepat di platform inovatif secara tidak sengaja meningkatkan eksposur terhadap jalur kode yang terlewatkan. Insiden ini mendorong tim-tim di seluruh Sui untuk meninjau praktik peluncuran dan mendorong dokumentasi yang lebih baik terhadap modul yang sudah tidak digunakan.
Sisi Manusia dari Sebuah Protokol yang Sedang Diserang
Di balik setiap eksploitasi ada manusia nyata yang waktu, modal, dan kepercayaannya bergantung pada keseimbangan. Pengguna Scallop yang telah melakukan staking di kolam sSUI atau mendapatkan imbalan menghadapi ketidakpastian singkat pada 26 April sebelum jaminan dari tim. Pengembang yang membangun dan kemudian meninggalkan kontrak V2 kemungkinan besar tidak pernah membayangkan bahwa itu akan menjadi target setelah 17 bulan tidak aktif. Peneliti keamanan dan analis on-chain yang mengamati aliran transaksi menghabiskan berjam-jam melacak variabel yang tidak diinisialisasi dan mekanisme inflasi imbalan.
Untuk peserta yang lebih kecil di komunitas Sui, acara ini terasa pribadi karena banyak yang memperlakukan platform DeFi sebagai alat harian untuk mendapatkan imbal hasil, bukan eksperimen berisiko tinggi. Komitmen protokol terhadap cakupan penuh meredakan stres segera bagi mereka yang terdampak tidak langsung melalui sentimen pasar. Kisah-kisah seperti ini mengingatkan kita bahwa kode dijalankan oleh keputusan manusia, tentang apa yang harus dipertahankan, apa yang harus pensiunkan, dan seberapa transparan untuk berkomunikasi ketika sesuatu salah.
Pola yang Terus Berulang di Berbagai Protokol Peminjaman
Platform pinjaman memiliki arsitektur umum yang melibatkan jaminan, peminjaman, oracle, dan lapisan insentif. Spool reward Scallop mencerminkan fitur-fitur dalam banyak pasar uang di mana poin atau token memberi imbalan atas partisipasi. Ketika tim menghentikan sistem insentif tanpa memutuskan sepenuhnya keterkaitan dengan kumpulan aset, risiko tetap ada. Serangan flash loan sebelumnya telah menargetkan setup serupa karena mereka memperbesar perbedaan harga kecil menjadi keuntungan besar. Masa dormansi 17 bulan pada kontrak Scallop mencerminkan kasus-kasus di mana protokol meningkatkan antarmuka tetapi meninggalkan logika backend tetap dapat diakses.
Di seluruh ekosistem, auditor terkadang fokus sangat kuat pada kode aktif sambil memberikan pengawasan lebih sedikit terhadap paket yang diarsipkan. Kejadian ini menambah data konkret ke dalam diskusi tentang manajemen siklus hidup kode: proses sunset rutin, pencabutan akses, atau bahkan penanda on-chain yang menandakan penghentian dapat mengurangi serangan tak terduga. Kejadian ini sesuai dengan pengamatan yang lebih luas bahwa mekanisme insentif, meskipun sangat baik untuk keterlibatan pengguna, sering kali memperkenalkan perhitungan kompleks yang rentan terhadap kasus tepi jika tidak diuji tekanan seiring waktu.
Apa yang Dikatakan Angka tentang Tren Kerugian DeFi pada 2026
Layanan pelacakan melaporkan bahwa kerugian DeFi pada awal 2026 sudah mencapai ratusan juta, dengan April mempercepat laju secara dramatis. Satu analisis menempatkan angka April di atas $600 juta dalam sekitar 18 hari dari sekitar selusin insiden. Total sepanjang tahun ini telah melampaui $750 juta dalam beberapa perkiraan, didorong oleh kombinasi serangan jembatan, masalah oracle, dan kompromi operasional. Peristiwa kecil seperti Scallop tetap penting karena saling menumpuk dan mengikis kepercayaan terhadap sektor secara keseluruhan.
Ukuran kerugian rata-rata bervariasi, tetapi bahkan pelanggaran yang terbatas menandakan bahwa biaya kegagalan keamanan ditanggung oleh kas protokol atau pool asuransi. Angka-angka ini berasal dari data on-chain dan laporan insiden yang dikompilasi oleh perusahaan yang memantau eksploitasi secara real time. Konsentrasi pada bulan April menyoroti bagaimana kelompok serangan dapat muncul ketika kondisi pasar atau peningkatan alat membuat vektor tertentu lebih menguntungkan. Kasus Scallop, yang mewakili sebagian kecil dari total bulanan, tetap berkontribusi pada narasi bahwa kerentanan tetap ada meskipun total nilai yang terkunci tumbuh di ekosistem yang menjanjikan.
Pelajaran dari Cara Tim Menangani Pemulihan Setelah Eksploitasi
Isolasi cepat dan komunikasi transparan telah menjadi penanda utama respons yang efektif. Scallop membekukan kembali kontrak inti setelah memastikan masalah tetap terkendali, memungkinkan aktivitas normal berlanjut tanpa downtime yang berkepanjangan. Menutup kerugian secara internal menghindari paksaan pengguna untuk menerima haircuts, yang dapat memicu arus keluar di pasar yang kompetitif. Banyak protokol sekarang menyediakan anggaran keamanan khusus atau bekerja sama dengan penyedia asuransi untuk menangani kejadian semacam ini.
Pengumuman publik dan pembaruan lanjutan dari tim Scallop membantu membatasi spekulasi dan kepanikan. Sebaliknya, respons yang lebih lambat atau kurang jelas dalam insiden sebelumnya menyebabkan penurunan TVL yang berkepanjangan. Pendekatan ini menunjukkan pentingnya memiliki rencana respons insiden yang siap, termasuk mekanisme jeda kontrak dan kepemilikan yang jelas atas kolam samping. Bagi pengguna, memantau bagaimana tim bertindak dalam jam-jam setelah pengungkapan memberikan wawasan tentang kedewasaan operasional di luar klaim pemasaran.
Acara Scallop mendorong pemeriksaan lebih mendalam tentang dari mana imbal hasil berasal dan kode apa yang mendukungnya. Peserta sering memeriksa APY dan TVL terkini, tetapi jarang menelusuri riwayat kontrak atau status penyusutan. Di platform seperti Scallop, imbalan terkait sSUI pernah terkait dengan spool yang rentan, sehingga memahami evolusi insentif sangat penting. Pengguna mendapat manfaat dengan memilih protokol yang mendokumentasikan perubahan kode dengan jelas dan menarik komponen lama dengan bersih.
Insiden ini juga menyoroti peran fitur khusus rantai: model Sui memungkinkan interaksi yang efisien tetapi tetap memerlukan kebersihan kontrak pintar yang hati-hati. Mendiversifikasi ke beberapa platform dan memantau saluran resmi selama insiden dapat membantu mengelola eksposur. Meskipun tidak ada platform yang menghilangkan risiko, kesadaran akan pola-pola umum, seperti logika imbalan lama atau ketergantungan pada flash loan, membantu pengguna membuat keputusan yang lebih bijak di ruang di mana inovasi bergerak cepat.
Mengantisipasi Praktik Keamanan dalam DeFi yang Berkembang
Seiring dengan kedewasaan protokol, penekanan beralih ke tata kelola kode yang lebih baik, termasuk pensiun otomatis kontrak yang tidak digunakan dan pemantauan yang ditingkatkan untuk modul yang tidak aktif. Tim mengeksplorasi verifikasi formal atau program bug bounty berkelanjutan yang secara khusus menargetkan kode lama. Kasus Scallop, meskipun berskala kecil, menjadi pengingat praktis bahwa pertumbuhan di rantai baru tidak menghapus kebutuhan akan pemeliharaan yang disiplin.
Tata kelola komunitas terkadang memungkinkan pemungutan suara untuk peningkatan keamanan, memberikan suara kepada pengguna dalam menentukan prioritas audit. Desain masa depan mungkin mengintegrasikan time locks atau flag deprekasi eksplisit yang mencegah pemanggilan ke logika lama. Acara ini menambah pengetahuan kolektif tentang permukaan serangan dunia nyata, membantu pengembang di berbagai proyek mengantisipasi masalah serupa. Pengguna dan pembangun sama-sama mendapat manfaat dengan memperlakukan setiap kontrak yang dideploy sebagai potensial aktif hingga dibuktikan sebaliknya melalui pembersihan yang ketat.
Pertanyaan yang Sering Diajukan
Apa yang sebenarnya terjadi dalam eksploitasi Scallop pada 26 April 2026?
Seorang penyerang menggunakan flash loan dan memanipulasi elemen-elemen dalam kontrak hadiah V2 yang sudah tidak digunakan yang terkait dengan spool sSUI, menguras sekitar 150.000 SUI senilai sekitar $142.000. Protokol peminjaman inti tetap tidak terpengaruh, dan tim segera membekukan kontrak sambil menjanjikan kompensasi penuh.
Apakah pengguna kehilangan uang dari setoran utama mereka di Scallop?
Tidak. Eksploitasi tersebut hanya menargetkan kontrak hadiah sampingan yang tidak digunakan selama 17 bulan. Operasi pasar uang utama, setoran pengguna, dan kolam aktif berlanjut tanpa gangguan, dan protokol berkomitmen untuk menutupi kerugian sepenuhnya dari sumber dayanya sendiri.
Mengapa kontrak yang sudah tidak digunakan masih menimbulkan risiko bertahun-tahun setelah peluncuran?
Blockchain menyimpan setiap kontrak pintar secara permanen dapat diakses. Ketika tim berhenti menggunakan versi lama tetapi tidak sepenuhnya membatasi atau menghapusnya, penyerang masih dapat berinteraksi jika ada kelemahan seperti variabel yang tidak diinisialisasi. Kasus Scallop menunjukkan bagaimana 17 bulan ketidakaktifan tidak menghilangkan nilai kolam hadiah sebagai target.
Seberapa umum serangan flash loan di protokol pinjaman DeFi?
Mereka muncul secara rutin karena pinjaman kilat tidak memerlukan jaminan dan diselesaikan secara instan. Menggabungkannya dengan manipulasi oracle memungkinkan penyerang menciptakan distorsi sementara untuk mengekstraksi nilai. Insiden Scallop mengikuti pola ini tetapi tetap terbatas pada komponen non-inti.
Langkah-langkah apa yang dapat diambil pengguna DeFi untuk mengurangi paparan terhadap insiden serupa?
Periksa pengumuman resmi untuk mengetahui masalah yang dilaporkan, tinjau riwayat pembaruan kode protokol, dan pahami dari mana imbal hasil berasal. Pilih platform dengan komunikasi transparan dan catatan respons yang kuat. Diversifikasi aset Anda di berbagai rantai dan protokol juga membantu mengelola risiko secara keseluruhan.
Apakah acara Scallop menunjukkan masalah yang lebih besar bagi ekosistem Sui?
Ini menyoroti perlunya manajemen hati-hati terhadap kode lama bahkan di rantai berkinerja tinggi. Sui terus berkembang dengan fondasi teknis yang kuat, tetapi protokol individu harus menjaga kebersihan terhadap komponen yang sudah tidak digunakan. Sifat terbatas dari kerugian dan pemulihan cepat menunjukkan bahwa ekosistem dapat merespons secara efektif ketika masalah muncul.
Disclaimer
Konten ini hanya untuk tujuan informasi dan bukan merupakan saran investasi. Investasi mata uang kripto memiliki risiko. Silakan lakukan riset sendiri (DYOR).
Penafian: Halaman ini diterjemahkan menggunakan teknologi AI (didukung oleh GPT) untuk kenyamanan Anda. Untuk informasi yang paling akurat, lihat versi bahasa Inggris aslinya.