Analisis Mendalam: Dampak Industri terhadap Insiden Keamanan Aave Kesimpulan ditempatkan di awal: 1. Narasi keamanan L2 hancur. Sebelumnya diklaim seaman jaringan utama, kini tampaknya harus mengorbankan rsETH di L2. 2. Semua narasi restake ETH benar-benar gagal. Setelah melalui berbagai lapisan kompleks di EigenLayer, pengguna menyadari bahwa imbalan yang dihasilkan (yang disebut sebagai penempatan node keamanan AVS) lebih kecil daripada risiko yang ditimbulkan oleh lapisan bertumpuk tersebut. 3. DeFi hancur. Bukan berarti mati total, tetapi penyusutan besar-besaran pasti terjadi. Karena pengguna menyadari masalah keamanan on-chain tidak bisa dihindari; selain itu, platform yang rugi bisa pergi begitu saja tanpa tanggung jawab (risiko agen klasik). 4. Pasti ada kerugian pengguna dalam insiden ini. Karena Kelp benar-benar miskin dan tidak mampu membayar ganti rugi. --------------------------------------------------------- Proses rinci tidak akan dianalisis lebih lanjut, karena orang lain sudah menganalisisnya dengan sangat baik. Secara singkat, peretas Korea Utara membobol Kelp, lalu melakukan transaksi lintas rantai melalui LayerZero L2 untuk mencetak koin semu dan menjarah kas Aave. Sekarang, Kelp, LayerZero, dan Aave saling menyalahkan dalam pembagian tanggung jawab. 1. Narasi Keamanan L2 Sebelumnya, semua L2—baik Optimistic Rollup maupun ZK Rollup—secara umum mengklaim keamanannya setara dengan jaringan utama ETH. Secara ketat, masalah kali ini bukan terjadi pada konsensus L2 atau sequencer yang diretas, tetapi pengguna tidak peduli apakah jembatan atau L2 yang diretas—hasilnya tetap sama: “rsETH yang dicetak di L2 menjadi koin semu, sementara jaringan utama lolos karena tidak melalui jembatan lintas rantai.” Respons resmi Aave menyatakan: “rsETH di jaringan utama sepenuhnya didukung,” sambil membekukan seluruh pasar WETH dan rsETH di L2 seperti Arbitrum, Base, Mantle, Linea, dll. Dengan kata lain, pengguna jaringan utama dan pengguna L2 tidak setara—pengguna L2 menjadi warga kelas dua https://t.co/14aPSMvLlJ 2. Semua Narasi Restake ETH Telah Gagal Layanan verifikasi keamanan AVS dari EigenLayer Setelah dua tahun, belum ada model pendapatan yang berhasil. Ya, Anda mungkin melihat EigenLayer mengklaim pendapatan sebesar berapa pun, tetapi jika Anda teliti, sebagian besar berasal dari subsidi token Eigen—mirip dengan Filecoin: slogan besar, tetapi penerapan nyata sangat terbatas... akhirnya hanya menjadi penjualan token. (Saya beri Anda 4 juta dolar dalam token Eigen, bisa dicairkan setelah dua tahun, sebagai ganti Anda membayar 1 juta dolar untuk layanan EigenLayer...) Bagi pengguna, ketika masalah Kelp muncul, mereka menyadari bahwa suku bunga staking tambahan 2% tidak sebanding dengan risikonya. Sebab, semakin banyak lapisan yang ditumpuk, semakin besar kemungkinan terjadinya kegagalan. Dalam skenario ekstrem, imbalan bersifat linier, tetapi risikonya eksponensial. 3. DeFi Hancur Konsep permissionless (tanpa izin) di web3 hanyalah mimpi. Terlalu banyak masalah mendasar yang tidak bisa diselesaikan. Sebagian besar protokol DeFi pada dasarnya adalah “kode yang dikendalikan oleh dompet multi-tanda tangan” 1) Kecepatan vs Keamanan: permissionless Ini adalah masalah tak terpecahkan. Mengapa transfer bank tradisional mahal dan lambat? Sebagian besar karena keamanan—memerlukan berbagai kontrol risiko dan proses persetujuan. (Anda jarang mendengar ada orang yang uangnya dicuri dari rekening bank mereka?) Lalu bagaimana DeFi menanganinya? Apakah Anda akan menulis seluruh logika kontrol risiko ke dalam kontrak pintar agar semua orang bisa memeriksanya? 2) Permissionless vs Anti-Pencucian Uang Mirip dengan kontrol risiko, aturan anti-pencucian uang dan audit ditentukan oleh manusia dan memiliki aturan pemicu. Tidak mungkin ada sistem tanpa izin sekaligus bisa mencegah pencucian uang. Bahkan jika AI digunakan untuk audit, aturan AI tetap ditentukan oleh manusia. Tentu Anda bisa bilang DeFi tidak perlu anti-pencucian uang. Tetapi jelas sebagian besar negara tidak akan menyetujui hal ini. Sekarang ini hanya memberi ruang hidup sementara. Di abad ke-21, transaksi keuangan tidak bisa menghindari anti-pencucian uang—hanya soal waktu. 3) Faktor manusia tidak bisa dihilangkan Sebagian besar protokol DeFi pada dasarnya adalah “kode yang dikendalikan oleh dompet multi-tanda tangan,” alasannya sederhana: a) Protokol pinjam-meminjam: penambahan aset baru, parameter pinjaman, pengaturan oracle—semuanya ditentukan oleh manusia dan bisa diubah. b) Sebagian besar protokol dapat diperbarui; pencurian kunci pribadi bisa membuat semuanya hancur seperti kasus Drift. c) Situs web antarmuka dikendalikan oleh tim. Misalnya @pendle_fi, @Morpho—semua protokol DeFi dapat menarik pasar tertentu, menyembunyikannya, atau menandainya sebagai berisiko. Perangkat pengembang diretas, rantai pasok tercemar, domain diserang (serangan domain CoW Swap baru-baru ini). Apakah ada protokol DeFi murni web3 yang ideal? Saya bisa memikirkan satu: Tornado Cash—nasibnya sudah Anda ketahui. Jika Anda mengatakan ini adalah masa depan DeFi, saya tidak punya komentar lagi. 4) Ketidaksesuaian Risiko Agen Profesional Ketika protokol web3 diretas, kerugian yang ditanggung oleh pengembang dan manajer sangat terbatas—apalagi tanggung jawab pidana. Mari saya beri contoh paling nyata: @arc—blockchain L1 yang dikeluarkan oleh Circle, induk perusahaan USDC—berapa hadiah tertinggi yang diberikan kepada hacker etis untuk menemukan bug paling serius? : 5.000 dolar. https://t.co/OJ0Zo6KynS Bug tingkat tertinggi bisa menyebabkan kerugian ratusan juta hingga miliaran dolar—hadiah 5K USD bukanlah sesuatu yang bisa dipikirkan oleh orang dengan logika normal. Alasannya sederhana: hadiah untuk hacker etis dibayar dari dompet sendiri; kerugian akibat peretasan ditanggung oleh orang lain... Mari kita lihat industri keuangan tradisional, seperti bank dan perusahaan obligasi: - Jika peretas benar-benar mencuri uang dari sistem tersebut, manajer yang bertanggung jawab bisa dihukum karena kelalaian tugas dan dipenjara... - Tingkat perlindungan level 3/4... membagi data keuangan menjadi 5 tingkat dengan metode perlindungan berbeda untuk masing-masing tingkat; data akuntansi kritis harus diekspor secara berkala ke pustaka磁带 atau disk optik offline dan disimpan di lokasi berbeda... Bagaimana dengan DeFi? Tidak ada aturan sama sekali—semua bergantung pada kesadaran protokol sendiri. Pada akhirnya, setelah berputar-putar, pengguna menyadari bahwa DeFi tetap saja CeDeFi.Ketika anda mendapat keuntungan, xxx Lab ada di sana untuk mengambil uang anda; ketika anda rugi, anda dikatakan sebagai DeFi yang tidak melakukan DYOR. Ya, protokol DeFi boleh ditambahkan time lock, pelbagai pengurusan risiko, penundaan audit, anti pencucian wang, bahkan KYC (hanya soal masa). Selepas menghias kotoran itu selama beberapa masa, akhirnya ia berubah menjadi semakin menyerupai keuangan tradisional. (Sebenarnya, tiada banyak pelabur institusi yang akan datang ke industri yang sering dicuri setiap beberapa hari. Jadi, berhentilah berfantasi tentang naratif RWA institusi.) Lebih baik percaya komunisme akan tercapai daripada percaya naratif Web3. 4. Peristiwa ini pasti menyebabkan kerugian kepada pengguna. Konsensus industri menunjukkan Kelp sekurang-kurangnya bertanggungjawab sebanyak 40%. Aave dan LayerZero mungkin akan membayar sebahagian, tetapi tidak akan menanggung bahagian Kelp. Pasukan Kelp sangat miskin; ketika rsETH terpisah dari nilainya, mereka sendiri terlibat dalam arbitrage, menghalang pengguna lain daripada menarik dana—dengan kata lain, mereka bersaing dengan pengguna untuk mendapatkan keuntungan kecil. Mengikut situasi semasa, kemungkinan besar Kelp akan secara langsung mengumumkan penutupan/kebangkrutan protokol; wang yang ada terhad, kalau anda mampu, sila tuntut di mahkamah. Oleh itu, sekurang-kurangnya bahagian tanggungjawab Kelp sendiri akan ditanggung oleh pengguna. Selain itu, saya juga melihat ada yang men-tag Sun Ge, CZ, dan lain-lain agar menjadi “knight in shining armour”—mungkin anda belum bangun sepenuhnya. Peminjaman Tether kepada Drift sebelum ini hanyalah ilusi; beberapa hari selepas skema ganti rugi dikeluarkan, anda akan faham—saya sudah pernah tulis tentang ini sebelum ini. Kesimpulan: Peristiwa ini menyerang tiga naratif utama secara serentak—L2, Restaking, dan kepercayaan DeFi—ia merupakan “triple narrative kill”. Selepas ini, orang mungkin akan memanggil April 2026 sebagai “April Hitam” untuk Web3 atau DeFi (dan April masih ada 10 hari lagi...). Cadangan saya: Jangan main DeFi sekarang. Letakkan duit anda di pertukaran dan dapatkan faedah.