Beranda
Berita
Detail

Krisis Keamanan DeFi: Pendiri OpenZeppelin Memperingatkan Semua Protokol Rentan

icon MarsBit
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$82,8310,36%
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,273,16%
AI summary iconRingkasan

expand icon
Pendiri OpenZeppelin, Manuel Aráoz, memperingatkan bahwa semua protokol DeFi berisiko karena eksploitasi DeFi berbasis AI. Ia menyarankan kontak dekatnya untuk menarik dana dari Aave, MakerDAO, dan platform lainnya. Pelanggaran keamanan besar terjadi pada Drift Protocol sebesar $2,8 miliar pada bulan April, diikuti oleh lebih dari $100 juta pada bulan Mei. Aráoz menyatakan bahwa AI kini dapat mendeteksi kelemahan kontrak pintar secara real-time, membuat investor DeFi terpapar ancaman baru.

Asli | Odaily Star Daily (@OdailyChina)

Penulis | Azuma (@azuma_eth)

DeFi

Saya pikir semua DeFi sudah tidak aman.

Pernyataan yang ditinggalkan oleh Manuel Aráoz, pendiri OpenZeppelin, kemarin di X, seperti bom dalam air dalam yang kembali mengguncang pasar DeFi yang sudah seperti air mati.

DeFi

Manuel bahkan menyatakan bahwa ia telah mulai menyarankan keluarga dan teman dekatnya untuk menarik dana dari berbagai protokol DeFi, termasuk protokol blue-chip yang sebelumnya dianggap berisiko rendah seperti Aave, MakerDAO, dan Compound.

Ini bukan peringatan sembarangan dari seorang awam. Sebaliknya, Manuel sendiri adalah salah satu pembangun utama dalam sistem keamanan DeFi, sementara OpenZeppelin adalah salah satu perusahaan audit keamanan paling dominan di industri ini, dengan perpustakaan kontrak, standar keamanan, dan kerangka auditnya yang hampir meresap ke seluruh dunia DeFi.

Penyebab perubahan sikap Manuel sepenuhnya adalah AI. Manuel pesimis bahwa kemampuan AI Coding Agent dalam mengidentifikasi dan mengeksploitasi kerentanan kontrak cerdas sedang meningkat secara eksponensial.

Ini berarti, masalah yang dulu memerlukan tim white hat teratas selama beberapa minggu untuk ditemukan, sekarang mungkin dapat dipindai oleh AI dalam beberapa menit; dulu peretas perlu mempelajari logika protokol dalam jangka panjang, sekarang jalur serangan dapat langsung dianalisis secara otomatis oleh AI; dulu "transparansi terbuka" DeFi merupakan keunggulan, sekarang justru menjadi korpus pelatihan terbaik bagi penyerang.

Manuel juga menyoroti masalah yang lebih mematikan: keamanan kontrak cerdas pada dasarnya adalah permainan yang sangat tidak seimbang—pihak bertahan harus memperbaiki semua kerentanan, sementara pihak penyerang hanya perlu menemukan satu saja untuk mencuri dana. Setelah AI mulai memperkuat efisiensi serangan secara eksponensial, ketidakseimbangan ini semakin cepat terganggu.

Kenyataan dingin: DeFi sudah menjadi mesin penarikan uang oleh peretas

Melihat kembali insiden keamanan DeFi dalam beberapa bulan terakhir, Anda akan menemukan bahwa kekhawatiran Manuel tidak berlebihan.

April hampir menjadi bulan terburuk dalam sejarah DeFi.

  • Pada April 1, Hari April Mop, Drift Protocol kehilangan $280 juta akibat peretasan hak administratif dan kerentanan eksekusi multi-signature (lihat lebih lanjut: "Tertawa atau Tertipu? Drift Protocol Dicuri Lebih dari $280 Juta, Bisa Jadi Kasus Pembobolan DeFi Terbesar Kedua di Ekosistem Solana").
  • Selanjutnya pada 19 April, Kelp DAO mengalami pencurian senilai $292 juta akibat serangan terhadap protokol jembatan (lihat artikel “DeFi Lagi-lagi Dicuri $292 Juta, Apakah Aave Sekarang Tidak Aman Lagi?”), di mana peretas kemudian memanfaatkan protokol pinjaman seperti Aave untuk melarikan diri, menyebabkan seluruh ekosistem DeFi terjebak dalam bayang-bayang kredit macet dan dampak turunannya.

Namun, setelah memasuki Mei, insiden tidak hanya berkurang, tetapi justru semakin meluas.

  • Pada 15 Mei, THORChain mengalami serangan, di mana operator node baru memanfaatkan kerentanan dalam skema tanda tangan ambang GG20 (TSS) untuk merekonstruksi kunci pribadi gudang dan langsung menjalankan transaksi keluar, menyebabkan kerugian lebih dari $10 juta.
  • Pada 18 Mei, protokol jembatan Verus diserang, di mana penyerang memalsukan payload impor lintas rantai untuk melewati verifikasi dan menarik aset dari cadangan Ethereum, mencuri sekitar $11,58 juta.
  • Pada 19 Mei, Echo Protocol di Monad menjadi sasaran serangan akibat kebocoran kunci pribadi, di mana penyerang mencetak 1.000 eBTC (senilai $76,7 juta) dan menarik dana melalui jalur serangan yang sebelumnya telah diuji melalui Curvance.
  • Pada 24 Mei, penerbit stablecoin yang patuh di bawah regulasi MiCA, StablR, mengalami serangan, di mana peretas memperoleh keuntungan lebih dari $2,8 juta dengan mencetak tambahan EURR dan USDR, menyebabkan EURR dan USDR kehilangan pegangan nilainya.
  • Pada 25 Mei, modul SquidRouter mengalami serangan, sehingga sekitar $3 juta aset dicuri dari 86 dompet Gnosis Safe.
  • Pada 27 Mei, kunci pribadi deployer StakeDAO bocor di Arbitrum, penyerang mencetak sekitar 5,45 triliun vsdCRV dan sebagian ditukar menjadi 43,7 ETH untuk melarikan diri.

Kejadian keamanan yang sering terjadi telah menjadi tanda peringatan, dari kode on-chain hingga manajemen off-chain, DeFi tampaknya sedang kehilangan kendali di seluruh lini.

AI telah menjadi senjata nuklir para peretas

Mengapa serangan dan pertahanan DeFi mengalami percepatan kehancuran musim panas ini? Selain perkembangan teknik peretasan tradisional, kemajuan pesat kemampuan model AI besar kini menjadi timbangan utama yang menggoyahkan keseimbangan.

Di masa lalu, mencari kerentanan kontrak cerdas yang kompleks (terutama yang melibatkan lintas rantai, nested bertingkat, atau logika reentrancy yang sangat tersembunyi) memerlukan minggu bahkan bulan analisis kode oleh peretas top. Namun, dengan kedewasaan agen AI yang memiliki konteks sangat panjang, penalaran logis kuat, dan kemampuan memanggil alat secara mandiri, semuanya mengalami perubahan mendasar.

  • Pemindaian detik-ke-detik dan penemuan "zero-day vulnerabilities" di seluruh jaringan: Penyerang hanya perlu memberikan perpustakaan kode sumber terbuka ke model inferensi AI generasi baru, dan AI akan mampu dalam beberapa detik memprediksi ratusan skenario interaksi ekstrem, seperti ahli keamanan berpengalaman, untuk secara akurat mengidentifikasi kondisi batas yang terlewat oleh auditor manusia saat lelah.
  • Pembuatan skrip serangan otomatis: AI tidak hanya dapat menemukan kerentanan, tetapi juga secara otomatis menulis, menguji, dan menerapkan "kontrak pintar peretas" untuk mengekstraksi dana.
  • Penyusunan sempurna antara DevOps offline dan social engineering: AI dapat menyamar sebagai pengembang sempurna untuk melakukan phishing, atau memantau secara terus-menerus commit GitHub tim DeFi. Begitu tim mengunggah informasi sensitif atau kode perbaikan yang belum diverifikasi, AI akan segera melakukan serangan dalam hitungan detik—jauh lebih cepat daripada waktu respons petugas keamanan manusia.

Dalam perang pertahanan dan serangan yang didukung AI ini, peretas memiliki hampir tak terbatasnya peluru dan kecepatan serangan dalam hitungan detik berkat AI, sementara DeFi terbatas oleh proses tata kelola yang lambat, konfirmasi multi-tanda tangan, dan audit keamanan yang tertunda, sehingga sulit memberikan respons pertahanan yang sepadan.

Bulan lalu, perusahaan pengembang AI di balik Claude, Anthropic, secara resmi mengumumkan model generasi baru bernama Mythos (lihat lebih lanjut di "Anthropic Menciptakan Model AI Terkuat Sepanjang Sejarah, Tapi Tak Berani Meluncurkannya..."). Ini adalah model pertama dalam sejarah manusia yang total parameternya melewati level sepuluh triliun (sementara model-model utama yang tersedia di pasar saat ini memiliki jumlah parameter antara ratusan miliar hingga satu triliun), dengan biaya pelatihan mencapai 10 miliar dolar AS.

Namun, karena keahlian khusus Mythos dalam keamanan siber (Anthropic sebelumnya mengungkapkan bahwa perusahaan tersebut mampu mengidentifikasi ribuan kerentanan nol-hari dalam waktu beberapa minggu saja menggunakan Mythos), Anthropic bahkan tidak berani merilis model ini secara terbuka langsung, demi mencegah penyalahgunaan oleh kelompok peretas, dan sebaliknya berencana untuk terlebih dahulu menguji coba model ini melalui program "Glass Wing" bagi perusahaan-perusahaan besar untuk mengidentifikasi dan memperbaiki kerentanan potensial.

Situasi keamanan DeFi saat ini masih sangat serius, sulit membayangkan ancaman baru apa yang akan dihadapi oleh pertahanan keamanan industri setelah Mythos dirilis secara publik.

Masalah terbesar: Rasio risiko-imbangan telah lama tidak seimbang

Bagi partisipan DeFi biasa, penyedia likuiditas (LP), dan whale, pertanyaan paling penting sekarang adalah duduk dan menghitung angkanya.

Selama ini, pengguna memilih menyimpan dana mereka di DeFi demi mendapatkan tingkat pengembalian tahunan yang beberapa kali lebih tinggi dibandingkan keuangan tradisional. Pada periode bull market atau saat mining likuiditas sedang gila-gilaan, imbal hasil sebesar 10%, 20%, atau bahkan lebih tinggi cukup untuk menutupi ekspektasi psikologis pengguna terhadap “risiko teknis potensial”.

Namun hari ini, logika dasar ini telah goyah bahkan terbalik sepenuhnya, rasio risiko-imbal hasil DeFi telah menjadi tidak seimbang. Di sisi imbal hasil, seiring pasar memasuki persaingan stok, bantalan keamanan membesar, tingkat pengembalian nyata dari sebagian besar protokol DeFi utama dan relatif dapat dipercaya telah turun ke kisaran angka satu digit; di sisi risiko, modal pengguna terpapar pada sebuah kotak hitam yang sewaktu-waktu bisa diretas oleh AI atau dikosongkan secara instan melalui flash loan—jika protokol mengalami serangan peretas, token menjadi nol dan kolam likuiditas disedot habis sering terjadi dalam hitungan menit, tanpa ada jaminan hukum, asuransi, atau bank sentral yang dapat menanggungnya.

Mengambil risiko kehilangan modal 100% untuk mendapatkan imbal hasil tahunan sekitar 5% jelas bukan transaksi yang menguntungkan.

Kata-kata Manuel mungkin terdengar mutlak, tetapi ia membuka tirai terakhir DeFi. Menghadapi kenyataan bahwa peretas telah menjadikan AI sebagai senjata standar dan insiden keamanan industri terus bermunculan, jika Anda belum siap secara mental untuk kehilangan 100% modal demi imbal hasil tertentu, maka "segera tarik dana dan amankan keuntungan" mungkin merupakan pilihan paling rasional dan paling sesuai dengan prinsip manajemen risiko dalam siklus pasar saat ini.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.