DeFi terjebak dalam dilema tahanan paling berbahaya dalam sejarah

Penulis: Gu Yu, ChainCatcher

Setelah lebih dari 40 jam terjadi pencurian, reaksi berantai yang dipicu oleh Kelp DAO masih terus berkembang, tidak hanya Aave, LayerZero, Arbitrum dan semakin banyak proyek terkenal lainnya turut terlibat, bahkan sampai beberapa narasi populer menghadapi penghakiman mati.

KOL terkenal Feng Wuxiang di platform X menyatakan, hanya ETH yang aman, ARB juga telah memberi otorisasi pembekuan transfer aset pelanggan. Tidak ada satu pun L2 yang benar-benar L2 seharusnya. L2 yang muncul di Arbitrum, juga akan mati di Arbitrum.

KOL terkenal lainnya, Lan Hu, mengatakan bahwa kerugian terbesar dari insiden Kelp ini bukan Aave, bukan Kelp, melainkan LayerZero, hanya saja dia terlalu pendek pandang, tidak melihat esensi dari seluruh peristiwa ini sebenarnya apa. Esensi dari kejadian ini bukan membuktikan L2 palsu (L2 palsu itu sudah cukup), melainkan membuktikan bahwa jembatan lintas rantai (cross-chain bridge) itu sendiri yang salah.

Semakin banyak pandangan keras muncul di ruang opini, pihak-pihak terkait saling berdebat dan saling menyalahkan, membuat kasus pencurian Kelp DAO ini menjadi jendela khas untuk mengamati pembagian tanggung jawab insiden keamanan, konflik antara pragmatisme dan dogma teknologi.

Satu, L0 Dibuktikan Palsu? Jembatan lintas rantai menjadi pihak paling dirugikan

Kunci dari insiden ini adalah laporan rinci serangan hacker yang dirilis LayerZero kemarin, sementara dugaan awal pelaku serangan adalah Lazarus Group yang bermuatan Korea Utara. Serangan dilakukan melalui penyuntikan racun ke jaringan verifikasi desentralisasi (DVN) yang bergantung pada infrastruktur RPC downstream, dengan mengendalikan sebagian node RPC dan melakukan serangan DDoS, memaksa sistem beralih ke node jahat, sehingga memalsukan transaksi lintas rantai.

“Memanfaatkan node yang disusupi untuk melakukan serangan racun terhadap infrastruktur RPC, dan menggabungkan serangan DDoS terhadap RPC yang tidak terpengaruh untuk memaksa failover, metode ini sangat kompleks. Ini pada dasarnya adalah perang infrastruktur.” kata Samuel Tse, kepala investasi dan kemitraan Animoca Brands.

Di akhir laporan, LayerZero menyatakan bahwa protokol berjalan sesuai harapan selama seluruh kejadian. Tidak ditemukan celah keamanan dalam protokol tersebut. Fitur utama arsitektur LayerZero adalah keamanan modular, dan dalam kasus ini, ia berhasil mengisolasi seluruh serangan ke satu aplikasi saja—sistem secara keseluruhan tidak terinfeksi, dan OFT maupun OApp lain tidak terpengaruh.

Penghapusan tanggung jawab secara total ini menjadi pemicu utama gelombang opini besar, banyak profesional industri tidak puas dengan performa LayerZero dalam insiden ini.

“L0 membersihkan diri, seluruh artikel menyalahkan konfigurasi keliru KelpDAO, mereka sendiri tidak ada masalah sama sekali. Luar biasa. Pertanyaannya, mengapa konfigurasi 1/1 diizinkan ada? Mengapa daftar RPC internal bisa diambil oleh pelaku serangan? Mengapa logika failover langsung mempercayai RPC yang terkontaminasi setelah DDoS, tanpa langsung menghentikan verifikasi, atau melakukan sesuatu sedikit saja?” tanya CM, peneliti industri terkenal.

“Pendekatan menghindar secara sengaja ini membuat saya sangat tidak nyaman. Dalam pernyataan tertulis jelas tertulis ‘protokol berjalan sepenuhnya sesuai harapan’. Serangan digambarkan sebagai node RPC yang diretas dan racun RPC. Tapi racun RPC bukan begitu, infrastruktur mereka sendiri yang disusupi dan dirusak. Karena pernyataan tidak menjelaskan bagaimana insiden itu terjadi, saya tidak akan buru-buru mengaktifkan kembali jembatan,” kata pengembang DeFi terkenal, banteg.

Perwakilan resmi Kelp DAO juga angkat bicara, menyatakan bahwa konfigurasi validator tunggal (1/1) yang menyebabkan serangan ini bukan pilihan mereka yang mengabaikan saran, melainkan pengaturan default dalam panduan resmi LayerZero, dan validator yang diserang (DVN) adalah infrastruktur milik LayerZero sendiri.

Berdasarkan analisis Dune, dari 2665 kontrak OApp berbasis LayerZero, 47% menggunakan konfigurasi DVN 1/1, yaitu mekanisme validator tunggal, yang secara drastis memperbesar risiko industri.

Lebih menakutkan dari masalah yang muncul adalah pihak terkait tidak mengakui kesalahan dan menghindar dari tanggung jawab. LayerZero, sebagai pemain utama dalam komunikasi lintas rantai dan narasi Layer0, ratusan proyek kripto mengandalkan infrastruktur lintas rantai mereka untuk menjembatani token dan aset berbeda, jika terus bersikap sombong, kepercayaan industri terhadap mereka pasti akan semakin menurun.

Opini umum menyebutkan, meskipun LayerZero tidak langsung diretas, reputasinya paling rusak—harus membayar harga atas “mengizinkan konfigurasi lemah”, jika tidak, narasi lintas rantai akan runtuh.

Artinya, LayerZero tidak hanya perlu mengusulkan langkah perbaikan teknis yang jelas, tetapi juga harus menanggung lebih banyak tanggung jawab dalam skema kompensasi aset.

Dua, Layer2 sudah mati? Pembekuan luar biasa Arbitrum

Diskusi tentang Layer2 muncul dari tindakan pembekuan Arbitrum. Siang ini, Komite Keamanan Arbitrum mengeluarkan pengumuman bahwa mereka telah mengambil langkah darurat untuk menyelamatkan 30.766 ETH yang disimpan di alamat Arbitrum One, saat ini bernilai sekitar 71 juta dolar.

Arbitrum juga menyatakan bahwa setelah penyelidikan teknis dan evaluasi mendalam, komite keamanan memutuskan dan melaksanakan solusi teknis yang memungkinkan transfer dana ke lokasi aman tanpa mempengaruhi status rantai lain atau pengguna Arbitrum. Alamat yang memegang dana tersebut tidak lagi dapat mengakses dana tersebut, hanya otoritas pengelola Arbitrum yang dapat melakukan langkah selanjutnya untuk memindahkan dana, dan langkah ini akan dilakukan secara koordinatif dengan pihak terkait.

Menurut analisis industri, Komite Keamanan Arbitrum menggunakan jenis transaksi khusus yang memiliki hak istimewa (ini bagian dari ArbOS, tapi hampir tidak pernah digunakan), yang memungkinkan kunci pribadi pelaku serangan tetap bisa menandatangani transaksi, tetapi ETH dari alamat tersebut dipindahkan oleh chain sendiri.

Jenis transaksi khusus ini sepenuhnya melewati kunci pribadi pelaku serangan, hanya chain sendiri (melalui sequencer / jalur upgrade ArbOS, dikendalikan oleh Komite Keamanan Arbitrum) yang bisa menyuntikkan transaksi.

Diketahui, Komite Keamanan Arbitrum terdiri dari 12 orang yang dipilih melalui pemilihan DAO Arbitrum, dan setiap keputusan membutuhkan persetujuan 9 dari 12 orang.

Sebuah gelombang besar pun muncul. Sebelumnya, di mata publik, Arbitrum sebagai Layer2 yang representatif tidak memiliki kemampuan dan wewenang untuk mengelola aset ETH pengguna, karena ini bertentangan dengan semangat desentralisasi blockchain.

Dalam insiden hacker sebelumnya, USDT dan USDC yang dicuri biasanya langsung dibekukan oleh Tether dan Circle untuk mengurangi kerugian pengguna. ETH sebagai aset asli chain, secara historis belum pernah dibekukan dan dipindahkan oleh chain itu sendiri, bahkan di luar ekspektasi mayoritas pengguna.

Banyak yang mendukung langkah Arbitrum, misalnya “Semua perusahaan, bank, dan institusi keuangan resmi akhirnya akan mengadopsi arsitektur tingkat kedua. Beroperasi seperti entitas terpusat di saat kritis bukanlah kekurangan, melainkan keunggulan.” Tapi bagi para teknisi dan penggemar teknologi, ini bukanlah hal yang sama.

“Tanpa kunci pribadi, tanpa otorisasi, langsung transfer.” Dalam banyak pandangan, langkah Arbitrum ini secara redefinisi tingkat desentralisasi Layer2, membuat mereka merasa kurang aman di Layer2.

Lan Hu secara langsung menyatakan, insiden ini sudah menyentuh garis merah ideologi inti DeFi: “Not Your Keys, Not Your Coins.” Insiden ini kembali ke masalah klasik dalam kripto: keamanan pragmatis vs keamanan sepenuhnya desentralisasi.

Penutup

Ketika LayerZero mengatakan “protokol berjalan sepenuhnya sesuai harapan,” mereka menjaga kebenaran teknis, tetapi kehilangan opini dan kepercayaan; ketika Arbitrum menggunakan transaksi khusus untuk memindahkan ETH senilai 71 juta dolar, mereka menyelamatkan dana pengguna, tetapi menghancurkan narasi desentralisasi Layer2.

Kisruh pencurian Kelp ini memposisikan dua narasi paling populer di pengadilan: apakah jembatan lintas rantai benar-benar infrastruktur atau justru memperbesar risiko? Apakah Layer2 adalah ekstensi yang andal dari Ethereum, atau bank tingkat dua yang berbalut kemasan desentralisasi?

LayerZero yang mengalami kerusakan akibat mekanisme validator tunggal, dan Arbitrum yang menggunakan mekanisme voting terpusat untuk menyelamatkan kerugian LayerZero dan Kelp DAO, membentuk sebuah lingkaran sirkus yang sangat ironis: sebuah protokol yang mengklaim desentralisasi, karena “kerentanan titik tunggal,” akhirnya runtuh; tetapi harus bergantung pada protokol lain yang bersifat “sentralisasi” untuk menyelesaikan masalah.

Ini memaksa seluruh industri menghadapi satu pertanyaan yang belum pernah dijawab secara langsung: ketika cita-cita desentralisasi bertabrakan dengan biaya keamanan nyata, kita rela mengorbankan yang mana?

Diskusi narasi besar menjadi fokus opini, sementara skema kompensasi pengguna menjadi fokus opini nyata lainnya. Meski Arbitrum berhasil mengembalikan lebih dari 70 juta dolar, Aave masih memiliki piutang buruk sekitar 200 juta dolar, dan bagaimana melindungi serta menjamin kepentingan pengguna?

Dalam sebagian besar insiden hacker, kerugian puluhan juta dolar biasanya menjadi bencana besar bagi protokol, dan klaim ganti rugi pengguna sering kali tidak pernah terealisasi. Tapi kali ini, melibatkan proyek-proyek top seperti Aave dan LayerZero, skema penanganan piutang buruknya menjadi perhatian utama.

Hari ini, Aave mengusulkan dua skema penanganan piutang buruk: pertama, kerugian dibagi secara sosial di antara semua pemegang rsETH (pembagian di seluruh rantai), dengan pengurangan nilai sekitar 15% untuk semua rsETH (baik di mainnet maupun L2); kedua, hanya pemegang rsETH di L2 yang menanggung seluruh kerugian, sementara rsETH di mainnet tetap di nilai asli.

Namun, Kelp DAO dan LayerZero hingga kini belum membahas peran mereka dalam skema kompensasi ini. Dari sikap LayerZero dalam laporan yang berusaha mengelak dari tanggung jawab, terlihat bahwa proyek ini menganggap bahwa tanpa tanggung jawab, mereka tidak punya kewajiban untuk memberi kompensasi.

Namun, sebuah protokol yang bernilai puluhan miliar dolar dan dipandang ratusan proyek sebagai fondasi utama, ketika menghadapi kerugian besar akibat konfigurasi DVN default, memilih “pembebasan secara teknis,” adalah sebuah ironi besar terhadap definisi “infrastruktur dasar.”

Ini adalah sebuah dilema tahanan klasik, di mana semua pihak dalam krisis berusaha meminimalkan kerugian melalui “pembagian keuntungan,” bukan dengan berbagi tanggung jawab untuk memperbaiki kepercayaan industri.

Dampak negatif dari insiden ini terhadap seluruh industri DeFi akan menjadi salah satu dilema tahanan paling berbahaya dalam sejarah.