Pelajaran satu miliar dolar: Fokus keamanan DeFi beralih dari kode ke pengelolaan operasional

Original Text Compiled: 登链社区

Ringkasan Isi dan Panduan:

Selama hampir satu tahun, kerugian DeFi mendekati 1 miliar dolar AS, kerugian besar yang sebenarnya tidak lagi terutama berasal dari celah kode kontrak, melainkan dari manajemen hak akses, proses tanda tangan, serangan sosial engineering, infrastruktur pihak ketiga, dan risiko interoperabilitas lintas rantai. Dengan mengadopsi ketahanan operasional TradFi, tiga garis pertahanan, pembekuan darurat, pengelolaan data risiko, dan pemeriksaan masuk aset, serta didukung analisis keamanan berbantuan AI, kita dapat meningkatkan keamanan dana pengguna sekaligus menjaga keterbukaan dan kemampuan komposabilitas.

Kita sebenarnya tidak perlu kehilangan miliaran dolar

Dalam dua belas bulan terakhir, hampir 1 miliar dolar AS hilang akibat insiden DeFi, tetapi sebagian besar sebenarnya bisa dihindari.

Mari mulai dari exploit terbaru: 18 April, exploit sebesar 292 juta dolar di Kelp DAO.

AAVE turun 15%. Aave menutup pasar rsETH di semua deployment, lalu juga menutup pinjaman WETH sebagai langkah pencegahan. Kontrak Aave sendiri tidak pernah dieksploitasi, tetapi dalam beberapa jam, tingkat utilisasi pasar WETH mencapai 100%. Penyedia WETH yang tidak pernah berinteraksi dengan rsETH tiba-tiba tidak bisa menarik dana.

Selanjutnya muncul pandangan umum di crypto twitter: Bridge rusak. DeFi rusak. Itulah sebabnya dana nyata tidak masuk.

Saya berpendapat, semua itu tidak menangkap inti masalah.

Sebagian besar dari 1 miliar dolar ini hilang karena vektor serangan yang sudah pernah dibahas dan ada solusi perbaikannya. Kerugian terbesar didorong oleh akses istimewa, proses tanda tangan, serangan sosial engineering, dan infrastruktur pihak ketiga, bukan bug kontrak pintar secara terisolasi. Namun, solusi perbaikan ini tidak tercantum dalam dokumentasi DeFi, melainkan dalam buku panduan pengendalian risiko perbankan, studi ketahanan engineering, dan playbook operasional yang telah diasah selama puluhan tahun di TradFi.

Kelp adalah contoh paling jelas.

Sebuah verifier. Sebuah titik kegagalan.

Eksploit Kelp bukanlah bug kontrak pintar. Penyebab utamanya terletak pada pilihan @KelpDAO@ untuk konfigurasi jaringan validator terdesentralisasi 1-of-1 di LayerZero bridge. Diduga, penyerang yang terkait dengan Lazarus Group dari Korea Utara, tidak menembus DVN itu sendiri. Mereka pertama-tama mengidentifikasi RPC provider yang digunakan oleh LayerZero DVN. Kemudian, mereka menembus dua di antaranya, memalsukan data yang dikembalikan. Setelah itu, mereka melancarkan DDoS terhadap provider lain, memaksa sistem failover ke node yang sudah mereka kuasai. DVN menandatangani pesan lintas rantai palsu dengan niat baik—karena tidak ada verifier lain yang memverifikasi hasilnya, tanda tangan ini sudah cukup.

Sebuah verifier. Sebuah titik kegagalan.

116.500 rsETH dilepaskan dari LayerZero OFT Adapter di Ethereum (mengelola token lintas blockchain), lalu diberikan kepada penyerang, menyebabkan 16 L2 rsETH OFTs kehilangan backing-nya. Penyerang menggunakan rsETH di Ethereum sebagai jaminan untuk meminjam di Aave, Compound, dan Euler, dan meminjamkan 236 juta dolar WETH, sampai akhirnya terdeteksi. Sekarang, semua yang memegang rsETH di salah satu L2 hanyalah klaim terhadap sebuah lockbox yang sudah dikuras.

Risiko ini sudah diidentifikasi 12 hari sebelumnya.

6 April, insinyur @liliangjya5@ dari @get_truenorth@ merilis sebuah skill kode Claude open source, yang menyoroti ketidaktransparanan konfigurasi DVN sebagai risiko terbesar, dan membandingkannya dengan exploit bridge Ronin dan Harmony tahun 2022. Timestamp commit-nya terbuka—siapa saja bisa melihatnya.

[]

Kelp tidak pernah mengungkap threshold DVN mereka. LayerZero dalam checklist integrasi secara eksplisit menyarankan konfigurasi multi-DVN. Kelp tetap memilih 1-of-1. Tidak ada yang memaksa mereka untuk mengumumkan, apalagi mengubah.

Dua belas hari kemudian, 292 juta dolar hilang.

Sepanjang dua belas bulan terakhir, DeFi tidak bisa dipandang sebelah mata

Eksploit Kelp adalah yang terbesar, tetapi bukan satu-satunya.

• Dua minggu lalu, tepatnya 1 April, Drift kehilangan 285 juta dolar setelah serangan sosial engineering selama berbulan-bulan. Penyerang memanfaatkan nonce tahan lama Solana untuk mendapatkan tanda tangan administrator yang valid, lalu memasukkan whitelist token yang tidak berharga sebagai jaminan, dan menguras aset nyata. Setidaknya ada 20 protocol lain yang melaporkan terdampak. Drift sendiri, dalam rencana rekontruksi pasca insiden, menambahkan perangkat signer khusus, timelock untuk operasi administrator, dan multisig pengelolaan kembali.

• 22 Maret, Resolv diserang melalui infrastruktur offchain. Penyerang menembus titik masuk pihak ketiga, mengakses GitHub dan cloud environment Resolv, mendapatkan izin tanda tangan untuk proses minting, lalu mencetak 80 juta USR tanpa backing, dan mencuri 25 juta dolar ETH. Kontrak pintar tidak gagal, kerentanan terletak pada kunci hak istimewa dan rangkaian operasional di sekitarnya.

• 10 Maret, Aave mengalami liquidation sekitar 26 juta dolar akibat mismatch konfigurasi antara dua parameter oracle, melibatkan 34 akun. Ketidaksesuaian ini menyebabkan harga wstETH turun 2,85%. Dalam kasus ini, tidak ada aktor jahat maupun exploit. Kerugian berasal dari pembaruan konfigurasi yang dilakukan dengan niat baik, tetapi tidak diuji dalam skenario hostile.

• Sebelum 2026, kita juga mengalami kerugian dari Cetus di Sui sebesar 223 juta dolar, Cork kehilangan 12 juta dolar karena wstETH setelah beberapa audit, Balancer kehilangan lebih dari 120 juta dolar pada November, dan Aerodrome yang bukan karena exploit kontrak pintar, melainkan karena DNS hijacking oleh registrar domain, menyebabkan kerugian lebih dari 1 juta dolar. Sekali lagi, kontrak tidak rusak. Phishing page adalah serangan terakhir.

Totalnya, hampir mencapai 1 miliar dolar. Penyebab langsung tiap insiden berbeda, tetapi pola tertentu mulai terbentuk.

Exploit ini telah berpindah ke offchain

Risiko kontrak pintar belum hilang—Cetus, Cork, dan Balancer adalah kegagalan logika onchain yang nyata. Protocol yang masih menganggap invariant testing, adversarial simulation, dan verification formal sebagai pilihan, akan belajar pelajaran dari satu rilis berikutnya. Tapi, ini bukan cerita utama lagi.

Melihat seluruh ekosistem crypto, Chainalysis memperkirakan lebih dari 6,5 miliar dolar dicuri pada 2025, dengan tiga besar hack menyumbang 69% dari total kerugian. Seperti yang disebutkan sebelumnya, kerugian terbesar didorong oleh akses istimewa, proses tanda tangan, serangan sosial engineering, dan infrastruktur pihak ketiga, bukan bug kontrak pintar secara terisolasi.

Saya menganggap ini sebagai tiga mode kegagalan berbeda: Layer Kode, Control Plane, dan Komposabilitas.

2. Kode adalah lapisan DeFi yang paling mampu dilindungi, tetapi bahkan di sana, masalah ini belum sepenuhnya terselesaikan. Kita punya fuzzing, analisis statis dan dinamis, verifikasi formal, bug bounty, audit, invariant testing—sekarang setiap tim serius tahu apa yang harus dilakukan.

3. Control plane adalah bagian di mana DeFi tertinggal minimal sepuluh tahun dari TradFi. Perangkat tanda tangan, rotasi kunci, pengawasan akses istimewa, provenance CI/CD, penguatan DNS, keamanan registrar domain. Sebagian besar protocol bahkan tidak memiliki inventaris dari surface ini, apalagi mengendalikannya.

4. Komposabilitas meskipun merupakan keunggulan terbesar DeFi, juga membawa risiko terbaru dan paling diremehkan—ketika sebuah pasar pinjaman mencantumkan aset wrapped tertentu, ia mengubah mode kegagalan bridge menjadi mode kegagalan sendiri. Ketika sebuah posisi utang yang dijamin menerima token staking likuid, ia mewarisi delay governance dari penerbitnya. Aave tidak menulis satu baris kode Kelp, tetapi tetap menerima kerusakan akibat kegagalan Kelp—ini juga mengungkapkan masalah governance-nya sendiri.

Jika sebuah protocol mencantumkan collateral yang tidak mampu diestimasi, dibekukan, diberi haircut, atau dilikuidasi secara mandiri dalam tekanan, maka sebenarnya ia memasukkan risiko tail asset tersebut ke dalam neraca—terlepas dari apakah treasury menyetujui secara formal.

TradFi sudah menulis playbook-nya

Perdebatan tentang menjadikan DeFi “lebih mirip TradFi” seringkali menyimpang di langkah yang sama. Intuisi di crypto adalah, menjadi lebih mirip TradFi berarti lebih lambat, lebih custodial, lebih permissioned, dan lebih diatur.

[]

Saya berpendapat, ini tidak benar.

Meskipun TradFi tentu bukan tanpa kekurangan, mereka telah menemukan beberapa hal yang jauh lebih berguna daripada permissioning. Mereka telah mengembangkan cara menjalankan sistem kritis selama gangguan—kerangka ini sudah ada. Mereka telah melewati ujian tekanan selama puluhan tahun dari kebangkrutan bank, gangguan transaksi, serangan siber, dan insiden operasional.

Contoh terkait:

• NIST Cybersecurity Framework 2.0 mengangkat Govern sebagai fungsi inti yang sejajar dengan Identify, Protect, Detect, Respond, dan Recover.

• Basel Committee on Banking Supervision mendefinisikan ketahanan operasional sebagai kemampuan menjalankan operasi kritis selama gangguan.

• Otoritas Keuangan Inggris (FCA) mewajibkan perusahaan mengidentifikasi layanan bisnis penting, menetapkan toleransi dampak, dan menguji apakah gangguan melampaui batas tersebut.

• Institute of Internal Auditors melalui model Three Lines memisahkan manajemen, tantangan risiko, dan jaminan independen.

Semua ini tidak memerlukan neraca keuangan TradFi, apalagi permission. Semuanya dapat diadopsi ke DeFi. Keamanan DeFi yang baik bukan berarti menyerahkan kendali ke bank, melainkan menjaga keterbukaan dan komposabilitas pengguna sambil menerapkan disiplin tingkat bank di control layer.

Ketika Lazarus menargetkan RPC providers LayerZero, mereka menggunakan playbook yang sama dengan serangan SWIFT dan supply chain perangkat lunak perusahaan. TradFi sudah berpengalaman selama tiga puluh tahun dalam hal ini. Tapi, DeFi seolah-olah menganggap diri mereka tak bisa belajar dari sejarah TradFi.

Power privilege adalah utility sistemik penting

Hak istimewa harus lebih sulit digunakan daripada fungsi protocol biasa. Kunci, multisig, atau service account yang mampu mencantumkan collateral, memindahkan reserves, memperbarui oracle, mengubah peer bridge, atau mengubah logika likuidasi, adalah utility keuangan penting. Standar minimum:

• Hardware wallets

• Autentikasi anti-phishing

• Mesin signer independen

• Dekode transaksi out-of-band

• Quorum terpisah

• Menetapkan timelock untuk semua operasi non-darurat

• Menolak secara tegas fitur yang memungkinkan signature dormant digunakan sebagai senjata di masa depan

Rekonstruksi pasca insiden Drift adalah patokan minimum yang baik.

Stack offchain juga bagian dari protocol. Manajemen kode sumber, CI/CD, IAM cloud, registri paket, domain, DNS, surface wallet-connect, dan frontend yang di-deliver melalui browser, semuanya berada di batas ancaman nyata. Standar engineering meliputi akses minimal, identitas berbasis hardware, deployment tanpa secret, build reproducible dengan software bill of materials, dan dependency pinning. Di lapisan batas, lock registrar, penguatan DNS, dan mirror front end terdesentralisasi dapat menjaga kontinuitas selama insiden.

DNS hijack Aerodrome mengingatkan bahwa batas keamanan jauh lebih besar dari yang biasanya dipahami oleh tim.

Setiap perubahan harus diuji dalam skenario hostile. Verifier lintas rantai harus memeriksa proof, bukan attestation. Bridge canonical akan memverifikasi proof hash dari block headers yang ditandatangani, sebagai jaminan kriptografi: node yang diserang dapat menolak data, tetapi tidak bisa memalsukan. Verifikasi proof lebih kuat daripada attestation, tetapi bridge berbasis proof tetap mengandung risiko konsensus, implementasi, dan upgrade. Masalahnya, desain ini mengeliminasi kegagalan tertentu, tetapi juga menyisakan yang lain.

Verifier berbasis attestation tidak memiliki jaminan yang sama. Mereka menandatangani apapun yang dikembalikan oleh RPC endpoint, sehingga endpoint itu sendiri menjadi surface serangan. Jika attestation digunakan demi kecepatan atau kompatibilitas rantai, quorum mewakili independensi, bukan jumlah. Lima validator yang membaca RPC yang sama dan terinfeksi akan menandatangani kebohongan yang sama lima kali. Keamanan hanya muncul jika anggota quorum memiliki sumber data yang benar-benar independen, idealnya menggabungkan node pribadi dan node publik terpercaya. Kelp adalah hasil dari attacker canggih yang memanfaatkan celah ini.

Tidak semua collateral layak masuk ke neraca bersama. Aset bridge, token restaking likuid, share vault, dolar sintetis, dan wrapper token harus diperlakukan sebagai produk terstruktur. Mereka membutuhkan memo onboarding terpisah, mencakup gambaran risiko luas dan batasan konservatif. Dalam banyak kasus, mereka harus masuk ke pasar terisolasi, bukan ke pool utama bersama.

Aave sudah menghentikan rsETH pada April 2025 karena bug over-minting Kelp. Setelah setahun, rsETH kembali ke pasar bersama, dan ini patut diawasi lebih ketat.

Deteksi dan respons harus berjalan dengan kecepatan mesin. Ketika sebuah protocol bisa dikuras dalam hitungan menit, mengandalkan manusia saja adalah pertunjukan governance. Otomatisasi terbatas adalah norma: deteksi anomali pada operasi admin, mint dan burn, utilisasi tinggi, de-peg oracle, dan traffic bridge, dikombinasikan dengan rate limit, throttle pinjaman, serta auto-freeze berbasis kondisi yang sudah disepakati dan dapat diaudit pasca kejadian.

Kita harus mulai memprioritaskan keamanan dana pengguna. Ketidaknyamanan yang diakibatkan oleh otomatisasi sesekali jauh lebih kecil daripada biaya yang timbul dari tidak adanya otomatisasi sejak awal.

Governance harus mendefinisikan apa yang tidak boleh gagal

Agar tim dapat menurunkan target keamanan, governance harus mendefinisikan hal-hal yang mutlak tidak boleh gagal. Dewan, yayasan, atau DAO harus secara tegas mencantumkan layanan bisnis penting: simpanan dan penarikan pengguna, likuidasi, pembaruan oracle, pelaksanaan governance, masuk/keluar bridge, akses frontend, komunikasi insiden.

Untuk setiap layanan, harus ditetapkan toleransi dampak, termasuk kerusakan pengguna maksimal, kerugian likuiditas, downtime, dan ketidakpastian data, serta diuji dalam skenario serius namun masuk akal apakah toleransi ini tetap terpenuhi.

Ini adalah makna dari operational resilience di perbankan, dan dapat langsung diadopsi ke DeFi.

DeFi harus mengadopsi model Three Lines yang sesungguhnya:

• Garis pertama: produk, engineering, treasury, dan operasi bertanggung jawab atas risiko yang mereka ciptakan dan kontrol mitigasinya.

• Garis kedua: fungsi risiko dan keamanan independen dengan otoritas jelas, menantang listing, parameter, upgrade, dan mitra, serta menahan atau menghentikan perubahan yang tidak aman.

• Garis ketiga: laporan assurance independen yang memastikan bahwa garis pertama dan kedua benar-benar berfungsi.

Independensi adalah cara mencegah insentif pertumbuhan memaksa diri mereka sendiri.

Onboarding aset harus lebih mirip underwriting kredit daripada pengembangan bisnis. Memo listing harus mencakup likuiditas dan konsentrasi, sentralisasi governance, jalur bridge dan kemampuan upgrade, mekanisme redemption, circuit breaker, cara membangun oracle, dan aspek legal. Jika salah satu dari asumsi ini dilanggar, setiap memo harus memiliki prosedur downgrade yang jelas.

Hak darurat harus sempit, terdefinisi sebelumnya, dan memiliki sunset. Voting recovery Cetus dan Sui menunjukkan dua aspek ini—intervensi darurat bisa menyelamatkan ratusan juta dolar. Ini juga menimbulkan pertanyaan serius: siapa yang bisa menutup sistem yang secara teori tidak bisa dihentikan, dan berdasarkan apa? Jawabannya, sebelum peluncuran, bukan saat krisis, dengan mendefinisikan kondisi trigger, aktor yang berwenang, standar bukti, durasi maksimum, kewajiban transparansi, dan jalur kembali ke governance normal.

Setiap protocol harus menyiapkan rencana resolusi sebelum krisis terjadi. Drift sedang membangun recovery pool pasca kejadian. Aave beralih ke kompensasi pengguna setelah mismatch oracle. Resolv mengembalikan dana 1:1 kepada pemilik sebelum hack. Ini adalah respons yang masuk akal, tetapi standar yang lebih tinggi adalah otorisasi sebelumnya melalui waterfall: perlindungan pengguna, buffer treasury, asuransi atau modul keselamatan, tanggung jawab penyedia layanan, dan penetapan batas kerugian sosial yang jelas.

Membedakan protocol yang sungguh memperhatikan governance dan yang tidak, melibatkan tiga pertanyaan: siapa yang bisa menghentikan peluncuran tidak aman? siapa yang bisa membekukan pasar berdasarkan kondisi yang sudah ditetapkan? dan ketika penyedia layanan delegated menyebabkan kerugian, siapa yang harus bertanggung jawab?

Protocol yang tidak mampu menyebutkan siapa, kondisi, dan jalur tanggung jawabnya, sama sekali belum mendefinisikan governance-nya, melainkan hanya berharap exploit tidak akan pernah terjadi.

Data risiko menentukan keberhasilan pengendalian

DeFi yang aman membutuhkan data live: sinyal onchain dan offchain yang menggerakkan setiap freeze, cap, dan liquidation. Control plane bertanggung jawab bertindak, data plane memberi tahu apakah harus bertindak.

Standar data dan kualitas data sama pentingnya. Data yang masuk ke oracle, freeze, dan parameter change harus memiliki window freshness yang jelas, provenance yang terdokumentasi, confidence scoring, dan cross-validation dengan feed independen. Jika feed berbeda, fallback behavior harus sudah didefinisikan sebelumnya, bukan keputusan dadakan.

Aave mengusulkan oracle yang dikelola risiko untuk USDe, dan oracle Slope2 yang berbobot waktu, menunjukkan arah yang benar. Insiden wstETH mengingatkan bahwa setiap loop kontrol otomatis harus dilindungi dari konfigurasi yang salah.

Pengungkapan sendiri adalah bentuk pengendalian. Pengguna harus memiliki halaman status publik, daftar alamat penyerang, log insiden real-time, pernyataan awal yang cepat dan faktual, serta post-mortem yang membedakan fakta dan asumsi, mengukur kerugian secara tepat, mencantumkan pengendalian yang diubah, dan menjelaskan jalur kompensasi. Pembaruan recovery Drift, post-mortem Resolv, dan penjelasan oracle Aave, jauh lebih baik daripada sekadar tweet ambigu dan diam setelah kejadian. Standar industri harus berupa playbook komunikasi yang sudah dilatih dan diuji sebelumnya.

Makna data risiko adalah untuk mendorong tindakan. Pembatasan pinjaman, pengurangan cap, penangguhan pasar, upgrade yang dilakukan secara manual, dan pembuktian bahwa sebuah pasar dapat tetap aman dan terbuka, semuanya bergantung pada data ini. Analytics yang tidak masuk ke control, limit, atau assurance process, tidak layak disebut risk infrastructure.

Model ancaman AI telah berubah

Model ancaman AI berubah pada April 2026. Claude Mythos Preview dari Anthropic terbukti mampu mengidentifikasi dan mengeksploitasi semua kerentanan zero-day di sistem operasi dan browser utama. Lebih dari 99% dari celah yang ditemukan belum dipublikasikan, karena belum ada patch-nya. Bank dan regulator di Inggris, AS, dan Jerman sudah menganggap kemampuan Mythos ini sebagai risiko siber nyata.

Protocol DeFi juga harus demikian.

Dari sudut pandang praktis, spear-phishing lebih murah, pengembangan exploit lebih cepat, recon lebih mandiri, dan kasus edge dengan sinyal rendah akan lebih cepat terdeteksi. Pertahanan dan respons harus:

• Workstation pengembang harus diamankan seperti endpoint istimewa

• Code review harus dilakukan di bawah akses terbatas dengan analisis adversarial berbantuan AI

• Workflow signer harus secara default memiliki perlindungan anti-phishing

• Deteksi anomali dan auto-response terbatas harus mengasumsikan kecepatan iterasi penyerang jauh lebih cepat daripada tim manusia

Cerita Kelp sebenarnya adalah versi optimistis dari hal ini. Kemampuan AI yang sama yang mengancam protocol, juga bisa digunakan untuk melindungi protocol. Sebuah alat audit open source yang berjalan di Claude Code, yang menandai risiko Kelp secara tepat 12 hari sebelum serangan, adalah contoh. Alat ini tidak sempurna: menilai risiko sebagai medium padahal seharusnya critical; tidak mampu menembus konfigurasi tanpa verifikasi onchain; dan, yang penting, konfigurasi DVN sebenarnya bisa dicek melalui LayerZero EndpointV2 contracts di chain.

Tapi, alat ini mengajukan pertanyaan yang tidak diajukan orang lain.

Ini adalah model yang harus diadopsi selanjutnya. AI sebagai lapisan keamanan independen, yang bisa diakses oleh LP, protocol, dan auditor kapan saja, sebelum dana bergerak.

DeFi yang aman tidak berarti DeFi yang lambat

Setelah insiden Kelp, pandangan umum adalah bahwa DeFi bermasalah dari segi keamanan. Saya berpendapat, framing ini sendiri keliru.

DeFi memiliki masalah control plane, pricing komposabilitas, dan disiplin governance. Ketiganya sudah memiliki solusi yang diketahui. Sebagian besar sudah tertulis di buku pedoman risiko bank tiga puluh tahun lalu. Satu-satunya penghalang besar antara DeFi dan peningkatan keamanan pengguna adalah apakah para pendiri akan menerapkannya.

DeFi yang aman tidak harus lambat. Slow dan safe adalah atribut berbeda. Akses terbuka untuk pengguna, komposabilitas, settlement global 24/7; disiplin tingkat bank di control layer, challenge independen, kecepatan mesin, dan assurance berkelanjutan—semuanya bisa berjalan bersamaan.

Alat dan playbook sudah ada. Modal dan keinginan untuk membangun DeFi yang aman juga sudah ada.

DeFi baru saja dimulai. Mari kita pastikan ia tetap ada sepuluh tahun lagi.