Dua eksploitasi DeFi terbesar dalam dua bulan terakhir memiliki satu kesamaan. Mereka menggunakan alat yang tidak ada di XRP Ledger.
Thorchain kehilangan sekitar $10,8 juta pada 15 Mei akibat serangan lintas rantai yang menguras dana di Bitcoin, Ethereum, BSC, dan Base. Drift Protocol, bursa perpajakan terdesentralisasi berbasis Solana, dan KelpDAO, protokol restaking cair di Ethereum, bersama-sama menyumbang kerugian lebih dari $600 juta hanya pada bulan April.
Jembatan lintas rantai telah kehilangan lebih dari $2,8 miliar akibat serangan sejak 2021, menurut Chainalysis. Dan sebagian besar eksploitasi ini menggunakan varian dari mekanisme yang sama: pinjaman kilat.
Flash loan adalah fitur kontrak pintar yang memungkinkan trader meminjam jutaan dolar tanpa jaminan, dengan syarat pinjaman tersebut dibayar kembali dalam transaksi yang sama. Kasus penggunaan yang sah meliputi arbitrase antar bursa, pertukaran jaminan tanpa membuka posisi, dan bot likuidasi yang menjaga solvabilitas di pasar peminjaman.
Pola serangan adalah mekanisme yang sama yang diarahkan ke arah yang salah.
Seorang peminjam mengambil pinjaman, menggunakan dana tersebut untuk memanipulasi oracle atau menguras kolam yang dirancang buruk, mendapatkan keuntungan dari manipulasi tersebut, dan membayar pinjaman, semuanya sebelum transaksi diselesaikan. Jika langkah apa pun gagal, seluruh urutan akan dibatalkan, sehingga penyerang hanya berisiko kehilangan biaya gas.
XRP Ledger tidak memungkinkan hal ini bekerja. Sebuah rancangan amandemen yang diajukan di repositori standar XRPL awal pekan ini, yang mengusulkan konsentrasi likuiditas dan pool gaya StableSwap untuk automated market maker asli rantai tersebut, mencakup satu baris di bagian Pertimbangan Keamanan: "Serangan flash loan secara struktural tidak mungkin terjadi. Transaksi XRPL bersifat atomik tanpa panggilan intra-transaksi yang dapat digabungkan."
Artinya, transaksi XRPL either berhasil sepenuhnya atau gagal sepenuhnya, seperti transaksi Ethereum. Namun berbeda dengan Ethereum, transaksi XRPL tidak dapat memanggil kontrak lain selama eksekusinya. Urutan pinjam-manipulasi-bayar yang mendefinisikan serangan flash loan membutuhkan setidaknya tiga operasi bersarang dalam satu amplop transaksi.
Itu adalah pilihan arsitektural yang bermakna, dan ada biayanya. Flash loan bukan hanya alat serangan. Mereka telah menjadi komponen struktural dari DeFi Ethereum, dengan Aave, dYdX, dan protokol utama lainnya menawarkannya sebagai produk. Pedagang arbitrase menggunakan flash loan untuk menghilangkan perbedaan harga antar bursa dalam satu tindakan atomik.
Bot likuidasi menggunakannya untuk menjaga posisi pinjaman yang dijamin lebih dari cukup tetap solven. Pengguna DeFi canggih menggunakannya untuk pertukaran jaminan yang seharusnya memerlukan modal yang terikat selama berjam-jam. XRPL melepaskan semua itu demi menutup seluruh kelas serangan.
Selama sebagian besar sejarah XRPL, kompromi tersebut tidak penting karena jejak DeFi rantai tersebut kecil. Itu sedang berubah. Aset dunia nyata yang ditokenisasi di XRP Ledger telah melampaui $3 miliar dalam total nilai, termasuk pilot Ripple-JPMorgan-Mastercard-Ondo Finance bulan lalu yang memproses penebusan Treasury AS yang ditokenisasi dalam waktu kurang dari lima detik.
Rancangan amandemen AMM, jika disetujui, akan menutup kesenjangan efisiensi modal yang membuat DeFi XRPL tertinggal di belakang Ethereum, membuka rantai ini terhadap berbagai strategi perdagangan dan imbal hasil yang lebih luas.
Jika amandemen AMM disetujui dan likuiditas DeFi XRPL tumbuh menuju sesuatu yang dapat didanai secara institusional dalam skala besar, pertanyaannya menjadi apakah ketahanan terhadap eksploitasi struktural merupakan keunggulan kompetitif nyata atau hanya fitur yang diabaikan institusi demi lokasi likuiditas yang sudah ada.