DeFi terjebak dalam dilema tahanan paling berbahaya dalam sejarah

Penulis: Gu Yu, ChainCatcher

Setelah lebih dari 40 jam terjadi pencurian, reaksi berantai yang dipicu oleh Kelp DAO masih terus berkembang, tidak hanya Aave, LayerZero, Arbitrum dan semakin banyak proyek terkenal lainnya yang terlibat, bahkan sampai mencapai tingkat di mana narasi populer tertentu mendapatkan penghakiman mati.

KOL terkenal Feng Wu Xiang di platform X menyatakan, hanya ETH yang aman sekarang, ARB juga telah memberi otorisasi pembekuan transfer aset pelanggan. Tidak ada satu pun L2 yang benar-benar L2 seharusnya. L2 yang muncul dari Arbitrum, juga akan mati karena Arbitrum.

KOL terkenal lainnya, Lan Hu, mengatakan bahwa kerugian terbesar dari insiden Kelp ini bukanlah Aave, bukan Kelp, melainkan LayerZero, hanya saja mereka terlalu pendek pandang, tidak melihat esensi dari seluruh kejadian ini sebenarnya apa. Esensi dari kejadian ini bukan membuktikan bahwa L2 (L2 palsu) itu salah, melainkan membuktikan bahwa jembatan lintas rantai (cross-chain bridge) itu salah.

Semakin banyak pandangan keras muncul di ruang opini, pihak-pihak terkait saling berdebat dan saling menyalahkan, sehingga kejadian pencurian Kelp DAO ini menjadi jendela khas untuk mengamati pembagian tanggung jawab insiden keamanan, konflik antara pragmatisme dan dogma teknologi.

1. L0 dibuktikan salah? Jembatan lintas rantai menjadi pihak yang paling dirugikan

Titik kunci dari insiden ini adalah laporan detail serangan hacker yang dirilis LayerZero kemarin, sementara penilaian awal menunjukkan bahwa pelaku serangan berasal dari Lazarus Group yang bermuatan Korea Utara. Serangan dilakukan melalui penyuntikan racun ke jaringan verifikasi desentralisasi (DVN) yang bergantung pada infrastruktur RPC downstream, dengan mengendalikan sebagian node RPC dan melakukan serangan DDoS, memaksa sistem beralih ke node jahat, sehingga memalsukan transaksi lintas rantai.

“Memanfaatkan node yang diretas untuk melakukan serangan racun terhadap infrastruktur RPC, dan menggabungkan serangan DDoS terhadap RPC yang tidak terpengaruh untuk memaksa failover, metode ini sangat kompleks. Ini pada dasarnya adalah perang infrastruktur.” kata Samuel Tse, kepala investasi dan kemitraan Animoca Brands.

Di akhir laporan, LayerZero menyatakan bahwa protokol berjalan sesuai harapan selama seluruh kejadian. Tidak ditemukan celah keamanan dalam protokol tersebut. Fitur utama dari arsitektur LayerZero adalah keamanan modular, dan dalam kasus ini, mereka berhasil mengisolasi seluruh serangan ke satu aplikasi saja—seluruh sistem tidak terinfeksi, dan tidak ada OFT atau OApp lain yang terpengaruh.

Penghapusan tanggung jawab secara total ini menjadi pemicu utama gelombang opini besar, banyak profesional industri yang tidak puas dengan performa LayerZero dalam insiden ini.

“L0 membersihkan tanggung jawabnya, seluruh artikel menyalahkan kesalahan konfigurasi KelpDAO, mereka sendiri seolah tidak ada masalah sama sekali. Luar biasa. Pertanyaan saya, mengapa konfigurasi 1/1 diizinkan ada? Mengapa daftar RPC internal bisa diambil oleh pelaku serangan? Mengapa logika failover langsung mempercayai RPC yang terkontaminasi setelah DDoS, tanpa langsung menghentikan verifikasi, atau melakukan sesuatu sedikit saja?” tanya CM, peneliti industri terkenal.

“Pendekatan menghindar secara sengaja ini membuat saya sangat tidak nyaman. Dalam pernyataan tertulis jelas tertulis ‘protokol berjalan sepenuhnya sesuai harapan’. Serangan digambarkan sebagai node RPC yang diretas dan racun RPC. Tapi racun RPC bukan begitu, infrastruktur mereka sendiri yang disusupi dan dihancurkan. Karena pernyataan tidak menjelaskan bagaimana insiden ini terjadi, saya tidak akan buru-buru mengaktifkan kembali jembatan.” kata pengembang DeFi terkenal, banteg.

Perwakilan resmi Kelp DAO juga angkat bicara, menyatakan bahwa konfigurasi validator tunggal (1/1) yang menyebabkan serangan ini bukan pilihan mereka yang mengabaikan saran, melainkan pengaturan default dalam panduan resmi LayerZero, dan validator yang digunakan pelaku serangan (DVN) adalah infrastruktur milik LayerZero sendiri.

Berdasarkan analisis Dune, dari 2665 kontrak OApp berbasis LayerZero, 47% menggunakan konfigurasi DVN 1/1, yaitu mekanisme validator tunggal, yang secara drastis memperbesar risiko industri.

Lebih menakutkan dari masalah yang muncul adalah ketika pihak terkait tidak mengakui kesalahan dan menghindar dari tanggung jawab. LayerZero, sebagai pemain utama dalam komunikasi lintas rantai dan narasi Layer0, ratusan proyek kripto mengandalkan infrastruktur lintas rantai mereka untuk menjembatani token dan aset dari berbagai rantai. Jika mereka terus bersikap sombong, kepercayaan industri terhadap mereka pasti akan semakin menurun.

Opini umum menyatakan bahwa meskipun LayerZero tidak langsung diretas, reputasinya paling parah rusak—harus membayar harga atas “mengizinkan konfigurasi lemah”, jika tidak, narasi lintas rantai akan runtuh.

Dengan kata lain, LayerZero tidak hanya perlu mengusulkan perbaikan teknis yang jelas, tetapi juga harus bertanggung jawab lebih besar dalam skema kompensasi aset.

2. Layer2 sudah mati? Pembekuan luar biasa dari Arbitrum

Diskusi tentang Layer2 muncul dari tindakan pembekuan Arbitrum. Siang ini, Komite Keamanan Arbitrum mengeluarkan pengumuman bahwa mereka telah mengambil langkah darurat untuk menyelamatkan 30.766 ETH yang disimpan di alamat Arbitrum One, saat ini bernilai sekitar 71 juta dolar.

Selain itu, Arbitrum menyatakan bahwa setelah penyelidikan teknis dan diskusi mendalam, komite keamanan memutuskan dan melaksanakan sebuah solusi teknis, yang memungkinkan pemindahan dana ke lokasi aman tanpa mempengaruhi status rantai lain atau pengguna Arbitrum. Alamat yang memegang dana tersebut tidak lagi dapat mengakses dana tersebut, dan hanya otoritas Arbitrum yang dapat melakukan langkah selanjutnya untuk memindahkan dana, yang akan dilakukan melalui koordinasi dengan pihak terkait.

Menurut analisis para profesional industri, Komite Keamanan Arbitrum menggunakan jenis transaksi penutup status yang bersifat privilese (ini bagian dari ArbOS, tapi hampir tidak pernah digunakan), yang memungkinkan kunci pribadi pelaku serangan tetap menandatangani transaksi, tetapi ETH dari alamat tersebut dipindahkan oleh chain sendiri.

Jenis transaksi khusus ini sepenuhnya melewati kunci pribadi pelaku serangan, hanya chain sendiri (melalui sequencer / upgrade path ArbOS, yang dikendalikan oleh Komite Keamanan Arbitrum) yang bisa menyuntikkan transaksi tersebut.

Diketahui, Komite Keamanan Arbitrum terdiri dari 12 orang yang dipilih melalui pemilihan DAO Arbitrum, dan setiap keputusan membutuhkan persetujuan minimal 9 dari 12 orang.

Sebuah gelombang besar pun muncul. Sebelumnya, publik menganggap Arbitrum sebagai Layer2 yang mewakili, tidak memiliki kemampuan dan wewenang untuk mengelola aset ETH pengguna, karena ini bertentangan dengan semangat desentralisasi blockchain.

Dalam insiden hacker sebelumnya, token USDT dan USDC yang dicuri biasanya langsung dibekukan oleh Tether dan Circle, untuk mengurangi kerugian pengguna. ETH sebagai aset asli chain, secara historis belum pernah dibekukan dan dipindahkan oleh chain sendiri, dan ini jauh di luar ekspektasi mayoritas pengguna.

Banyak yang mendukung langkah Arbitrum, seperti “Semua perusahaan, bank, dan institusi keuangan resmi akhirnya akan mengadopsi arsitektur tingkat kedua. Beroperasi seperti entitas terpusat di saat kritis bukanlah kekurangan, melainkan keunggulan.” Tapi bagi para teknisi dan penggemar teknologi, ini bukanlah hal yang sama.

“Tanpa kunci pribadi, tanpa otorisasi, langsung transfer.” Dalam banyak pandangan, langkah Arbitrum ini secara redefinisi tingkat desentralisasi Layer2, membuat mereka merasa kurang aman di Layer2.

Lan Hu secara langsung menyatakan bahwa insiden ini sudah menyentuh garis merah ideologi inti DeFi: “Not Your keys, not your coins.” Insiden ini kembali ke masalah klasik dalam kripto: keamanan pragmatisme versus keamanan sepenuhnya desentralisasi.

Penutup

Ketika LayerZero mengatakan “protokol berjalan sepenuhnya sesuai harapan”, mereka menjaga keakuratan teknis, tetapi kehilangan opini dan kepercayaan; ketika Arbitrum menggunakan transaksi privilese untuk memindahkan ETH senilai 71 juta dolar, mereka menyelamatkan dana pengguna, tetapi menghancurkan narasi desentralisasi Layer2.

Kisruh pencurian Kelp ini memaksa dua narasi paling populer untuk diadili: apakah jembatan lintas rantai benar-benar infrastruktur atau justru memperbesar risiko? Apakah Layer2 adalah ekstensi yang andal dari Ethereum, atau bank tingkat dua yang berbalut kemasan desentralisasi?

LayerZero yang mengalami kerusakan akibat mekanisme validator tunggal, dan Arbitrum yang menggunakan mekanisme voting terpusat untuk menyelamatkan LayerZero dan Kelp DAO, membentuk sebuah lingkaran sirkus yang sangat ironis: sebuah protokol yang mengklaim desentralisasi, runtuh karena “kerentanan titik tunggal”; akhirnya harus bergantung pada “keistimewaan terpusat” dari protokol lain untuk menyelesaikan masalah.

Ini memaksa seluruh industri untuk menghadapi sebuah pertanyaan yang selama ini belum pernah dijawab secara langsung: ketika cita-cita desentralisasi bertabrakan dengan biaya keamanan nyata, kita rela mengorbankan sisi mana?

Diskusi narasi besar menjadi fokus opini, sementara skema kompensasi pengguna menjadi fokus opini nyata lainnya. Bahkan jika Arbitrum berhasil mengembalikan lebih dari 70 juta dolar, Aave masih memiliki piutang buruk sekitar 200 juta dolar, dan bagaimana melindungi serta menjamin kepentingan pengguna secara layak?

Dalam sebagian besar insiden hacker, kerugian jutaan dolar biasanya menjadi bencana besar bagi protokol, dan klaim ganti rugi pengguna sering berakhir tanpa hasil. Tapi insiden ini melibatkan proyek-proyek besar seperti Aave dan LayerZero, sehingga skema penanganan piutang buruknya menjadi perhatian utama.

Hari ini, Aave mengusulkan dua skema penanganan piutang buruk: pertama, kerugian dibagi secara sosial di antara semua pemegang rsETH (pembagian di seluruh rantai), dengan penurunan nilai rsETH di Kelp DAO sekitar 15%; kedua, hanya pemegang rsETH di L2 yang menanggung kerugian, sementara nilai rsETH di mainnet tetap sama.

Namun, Kelp DAO dan LayerZero hingga kini belum membahas peran mereka dalam skema kompensasi ini. Dari sikap LayerZero yang berusaha mengelak tanggung jawab dalam laporan tersebut, terlihat bahwa proyek ini menganggap bahwa tanpa tanggung jawab, tidak ada kewajiban untuk memberi kompensasi.

Namun, sebuah protokol yang bernilai puluhan miliar dolar dan dipandang sebagai fondasi oleh ratusan proyek, ketika menghadapi kerugian besar akibat konfigurasi DVN default, memilih “pembebasan secara teknis”, adalah sebuah ironi besar terhadap definisi “infrastruktur dasar”.

Ini adalah sebuah dilema tahanan klasik, di mana semua pihak yang terlibat berusaha meminimalkan kerugian melalui “pembagian keuntungan”, bukan melalui tanggung jawab bersama untuk memperbaiki kepercayaan industri yang retak.

Dari dampak negatif insiden ini terhadap berbagai pihak di industri, dapat dikatakan bahwa ini akan menjadi salah satu dilema tahanan paling berbahaya dalam sejarah DeFi.