DeFi terjebak dalam dilema tahanan paling berbahaya dalam sejarah

Penulis: Gu Yu, ChainCatcher

Setelah lebih dari 40 jam terjadi pencurian, reaksi berantai yang dipicu oleh Kelp DAO masih terus berkembang, tidak hanya Aave, LayerZero, Arbitrum dan semakin banyak proyek terkenal lainnya yang terlibat, bahkan sampai beberapa narasi populer menghadapi penghakiman mati.

KOL terkenal Feng Wu Xiang di platform X menyatakan, hanya ETH yang aman, ARB juga telah memberi otorisasi pembekuan transfer aset pelanggan. Tidak ada satu pun L2 yang benar-benar L2 seharusnya. L2 muncul karena Arbitrum, juga mati karena Arbitrum.

KOL terkenal lainnya, Lan Hu, mengatakan bahwa kerugian terbesar dari insiden Kelp ini bukan Aave, bukan Kelp, melainkan LayerZero, hanya saja ia terlalu pendek pandang, tidak melihat esensi dari seluruh kejadian ini sebenarnya apa. Esensi dari kejadian ini bukan membuktikan L2 palsu (L2 palsu itu sudah cukup), melainkan membuktikan bahwa jembatan lintas rantai (cross-chain bridge) itu sendiri yang salah.

Semakin banyak pandangan keras muncul di ruang opini, pihak-pihak terkait saling berdebat dan saling menyalahkan, membuat kejadian pencurian Kelp DAO menjadi jendela khas untuk mengamati pembagian tanggung jawab insiden keamanan, konflik antara pragmatisme dan dogma teknologi.

1. L0 dibuktikan palsu? Jembatan lintas rantai menjadi pihak paling dirugikan

Titik kunci dari insiden ini adalah laporan rinci serangan hacker yang dirilis LayerZero kemarin, sementara dugaan awal pelaku serangan adalah Lazarus Group yang bermuatan Korea Utara. Serangan dilakukan melalui penyuntikan racun ke jaringan verifikasi desentralisasi (DVN) yang bergantung pada infrastruktur RPC downstream, dengan mengendalikan sebagian node RPC dan melakukan serangan DDoS, memaksa sistem beralih ke node jahat, sehingga memalsukan transaksi lintas rantai.

“Memanfaatkan node yang disusupi untuk melakukan serangan racun terhadap infrastruktur RPC, dan menggabungkan serangan DDoS terhadap RPC yang tidak terpengaruh untuk memaksa failover, metode ini sangat kompleks. Ini pada dasarnya adalah perang infrastruktur,” kata Samuel Tse, kepala investasi dan kemitraan Animoca Brands.

Di akhir laporan, LayerZero menyatakan bahwa protokol berjalan sesuai harapan selama seluruh kejadian. Tidak ditemukan celah keamanan apapun dalam protokol tersebut. Fitur utama arsitektur LayerZero adalah keamanan modular, dan dalam kasus ini, ia berhasil mengisolasi seluruh serangan ke satu aplikasi saja—seluruh sistem tidak terinfeksi, dan tidak ada OFT atau OApp lain yang terdampak.

Penghapusan tanggung jawab secara total ini menjadi pemicu utama gelombang opini besar, banyak profesional industri tidak puas dengan performa LayerZero dalam insiden ini.

“L0 membersihkan diri, seluruh artikel menyalahkan kesalahan konfigurasi KelpDAO, mereka sendiri tidak ada masalah sama sekali. Luar biasa. Pertanyaannya, mengapa konfigurasi 1/1 diizinkan ada? Mengapa daftar RPC internal bisa diambil oleh pelaku serangan? Mengapa logika failover langsung mempercayai RPC yang terkontaminasi setelah DDoS, tanpa langsung menghentikan verifikasi, atau melakukan sesuatu sedikit saja?” tanya CM, peneliti industri terkenal.

“Pendekatan menghindar secara sengaja ini membuat saya tidak nyaman. Dalam pernyataan tertulis jelas tertulis ‘protokol berjalan sepenuhnya sesuai harapan’. Serangan digambarkan sebagai node RPC yang diretas dan RPC yang disuntik racun. Tapi RPC racun tidak seperti itu, infrastruktur mereka sendiri yang disusupi dan dirusak. Karena pernyataan tidak menjelaskan bagaimana insiden ini terjadi, saya tidak akan buru-buru mengaktifkan kembali jembatan,” kata pengembang DeFi terkenal, banteg.

Pihak resmi Kelp DAO juga angkat bicara, menyatakan bahwa konfigurasi validator tunggal (1/1) yang menyebabkan serangan ini bukan pilihan mereka yang mengabaikan saran, melainkan pengaturan default dalam panduan resmi LayerZero, dan validator yang digunakan pelaku serangan (DVN) adalah infrastruktur milik LayerZero sendiri.

Berdasarkan analisis Dune, dari 2665 kontrak OApp berbasis LayerZero, 47% menggunakan konfigurasi DVN 1/1, yaitu mekanisme validator tunggal, yang secara drastis memperbesar risiko industri.

Lebih menakutkan dari masalah yang muncul adalah pihak terkait tidak mengakui kesalahan dan menghindar dari tanggung jawab. LayerZero, sebagai pemain utama dalam komunikasi lintas rantai dan narasi Layer0, ratusan proyek kripto mengandalkan infrastruktur lintas rantai mereka untuk menjembatani token dan aset berbeda. Jika terus bersikap sombong, kepercayaan industri terhadap mereka pasti akan semakin menurun.

Opini umum menyatakan bahwa meskipun LayerZero tidak langsung diretas, reputasinya paling parah rusak—harus membayar harga atas “mengizinkan konfigurasi lemah”, jika tidak, narasi lintas rantai akan runtuh.

Artinya, LayerZero tidak hanya perlu mengusulkan perbaikan teknis yang jelas, tetapi juga harus menanggung lebih banyak tanggung jawab dalam skema kompensasi aset.

2. Layer2 sudah mati? Pembekuan luar biasa Arbitrum

Diskusi tentang Layer2 muncul dari tindakan pembekuan Arbitrum. Siang hari ini, Komite Keamanan Arbitrum mengeluarkan pengumuman bahwa mereka telah mengambil langkah darurat untuk menyelamatkan 30.766 ETH yang disimpan hacker di alamat Arbitrum One, saat ini bernilai sekitar 71 juta dolar.

Arbitrum juga menyatakan bahwa setelah penyelidikan teknis dan evaluasi mendalam, komite keamanan memutuskan dan melaksanakan solusi teknis yang memungkinkan pemindahan dana ke lokasi aman tanpa mempengaruhi status rantai lain atau pengguna Arbitrum. Alamat yang memegang dana tersebut tidak lagi dapat mengakses dana tersebut, dan hanya otoritas pengelola Arbitrum yang dapat melakukan langkah selanjutnya untuk memindahkan dana, yang akan dilakukan secara terkoordinasi.

Menurut analisis para profesional industri, Komite Keamanan Arbitrum menggunakan jenis transaksi penutup status yang bersifat privilese (ini bagian dari ArbOS, tapi hampir tidak pernah digunakan), yang memungkinkan kunci pribadi pelaku serangan tetap menandatangani transaksi, tetapi ETH dari alamat tersebut dipindahkan oleh chain sendiri.

Jenis transaksi khusus ini sepenuhnya melewati kunci pribadi pelaku serangan, hanya chain sendiri (melalui sequencer / upgrade ArbOS, dikendalikan oleh Komite Keamanan Arbitrum) yang bisa menyuntikkan transaksi.

Diketahui, Komite Keamanan Arbitrum terdiri dari 12 orang yang dipilih oleh DAO Arbitrum, dan setiap keputusan membutuhkan persetujuan 9 dari 12 orang.

Sebuah gelombang besar pun terjadi. Sebelumnya, di mata publik, Arbitrum sebagai Layer2 yang representatif tidak memiliki kemampuan dan wewenang untuk mengelola aset ETH pengguna, karena ini bertentangan dengan semangat desentralisasi blockchain.

Dalam insiden hacker sebelumnya, token USDT dan USDC yang dicuri biasanya langsung dibekukan oleh Tether dan Circle untuk mengurangi kerugian pengguna. ETH sebagai aset asli chain, secara historis belum pernah dibekukan dan dipindahkan oleh chain sendiri, dan ini jauh di luar ekspektasi mayoritas pengguna.

Banyak yang mendukung langkah Arbitrum, misalnya “Semua perusahaan, bank, dan institusi keuangan resmi akhirnya akan mengadopsi arsitektur tingkat kedua. Beroperasi seperti entitas terpusat di saat kritis bukanlah kekurangan, melainkan keunggulan.” Tapi bagi para teknisi dan penggemar teknologi, ini bukanlah hal yang sama.

“Tanpa kunci pribadi, tanpa otorisasi, langsung transfer.” Dalam banyak pandangan, langkah Arbitrum ini secara redefinisi tingkat desentralisasi Layer2, membuat mereka merasa kurang aman di Layer2.

Lan Hu secara langsung menyatakan bahwa insiden ini sudah menyentuh garis merah ideologi inti DeFi: “Not Your Keys, Not Your Coins.” Insiden ini kembali ke masalah klasik dalam kripto: keamanan pragmatisme versus keamanan sepenuhnya desentralisasi.

Penutup

Ketika LayerZero mengatakan “protokol berjalan sepenuhnya sesuai harapan,” mereka menjaga kebenaran teknis, tetapi kehilangan opini dan kepercayaan; ketika Arbitrum menggunakan transaksi privilese untuk memindahkan ETH senilai 71 juta dolar, mereka menyelamatkan dana pengguna, tetapi menghancurkan narasi desentralisasi Layer2.

Kisruh pencurian Kelp memaksa dua narasi paling populer ini diadili bersamaan: apakah jembatan lintas rantai benar-benar infrastruktur atau justru memperbesar risiko? Apakah Layer2 adalah ekstensi yang andal dari Ethereum, atau bank tingkat dua yang berbalut desentralisasi?

LayerZero yang mengalami kerusakan karena mekanisme validator tunggal, dan Arbitrum yang menggunakan mekanisme voting terpusat untuk menyelamatkan LayerZero dan Kelp DAO, membentuk lingkaran sirkus yang sangat ironis: sebuah protokol yang mengklaim desentralisasi runtuh karena “kerentanan titik tunggal,” tetapi akhirnya harus bergantung pada “keistimewaan terpusat” dari protokol lain untuk menyelesaikan masalah.

Ini memaksa seluruh industri menghadapi satu pertanyaan yang belum pernah dijawab secara langsung: ketika cita-cita desentralisasi bertabrakan dengan biaya keamanan nyata, kita rela mengorbankan yang mana?

Diskusi narasi besar menjadi fokus opini, sementara skema kompensasi pengguna menjadi fokus opini nyata lainnya. Meski Arbitrum berhasil mengembalikan lebih dari 70 juta dolar lewat langkah teknis, Aave masih memiliki piutang buruk sekitar 200 juta dolar, dan bagaimana melindungi serta menjamin kepentingan pengguna?

Dalam sebagian besar insiden hacker, kerugian puluhan juta dolar biasanya menjadi bencana besar bagi protokol, dan klaim ganti rugi pengguna sering berakhir tanpa hasil. Tapi kali ini, melibatkan proyek-proyek top seperti Aave dan LayerZero, skema penanganan piutang buruknya menjadi perhatian utama.

Hari ini, Aave mengusulkan dua skema penanganan piutang buruk: pertama, kerugian dibagi secara sosial di antara semua pemegang rsETH (pembagian di seluruh rantai), dengan pengurangan nilai sekitar 15% untuk semua rsETH (baik mainnet maupun L2); kedua, hanya pemegang rsETH di L2 yang menanggung kerugian, sementara nilai rsETH di mainnet tetap sama.

Namun, Kelp DAO dan LayerZero sendiri hingga kini belum membahas peran mereka dalam skema kompensasi ini. Dari sikap LayerZero yang berusaha mengelak dari tanggung jawab dalam laporan, terlihat bahwa mereka menganggap tidak ada tanggung jawab berarti tidak ada kewajiban untuk memberi kompensasi.

Namun, sebuah protokol yang bernilai puluhan miliar dolar dan dipandang sebagai fondasi oleh ratusan proyek, ketika menghadapi kerugian besar akibat konfigurasi DVN default, memilih “pembebasan secara teknis,” adalah sebuah ironi besar terhadap definisi “infrastruktur dasar.”

Ini adalah dilema tahanan klasik: semua pihak dalam krisis berusaha meminimalkan kerugian melalui “pembagian keuntungan,” bukan dengan berbagi tanggung jawab untuk memperbaiki kepercayaan industri yang hilang.

Dampak negatif dari insiden ini terhadap industri DeFi akan menjadi salah satu dilema tahanan paling berbahaya dalam sejarah.