Belakangan ini kembali ada yang menanyakan tentang masalah terkait pinjaman kilat, jadi mari kita bahas topik ini dengan baik.

Sebenarnya, pinjaman kilat ini sudah ada di dalam DeFi sejak cukup lama. Aave adalah yang pertama kali memperkenalkan konsep ini pada tahun 2020, kemudian diikuti oleh protokol pinjaman lainnya. Banyak orang awalnya tertarik karena fitur ini melanggar batasan keuangan tradisional — bisa meminjam sejumlah besar dana tanpa jaminan, tanpa pemeriksaan kredit. Kedengarannya sangat menarik, tetapi mekanisme di baliknya sebenarnya cukup cerdik.

Sederhananya, pinjaman kilat adalah pinjaman tanpa jaminan yang diselesaikan dalam satu transaksi kontrak pintar di satu blok. Kamu meminjam uang, harus mengembalikannya sebelum transaksi selesai, jika tidak, seluruh proses akan dibatalkan secara otomatis, seakan-akan tidak pernah terjadi apa-apa. Karena desain atomik ini, pemberi pinjaman sama sekali tidak menanggung risiko, sehingga mereka bisa memberikan pinjaman tanpa syarat.

Ini awalnya adalah fitur inovatif yang mendukung arbitrase, pengelolaan likuiditas, dan penggunaan legal lainnya. Tapi tentu saja, ada juga yang mulai memanfaatkan fitur ini untuk hal-hal yang tidak baik.

Yang paling saya ingat adalah beberapa serangan pinjaman kilat pada tahun 2020. Salah satu pelaku serangan meminjam ETH melalui pinjaman kilat dari dYdX, lalu membagi dana tersebut ke platform Compound dan Fulcrum. Di Fulcrum, mereka melakukan short ETH terhadap WBTC, sekaligus membeli WBTC dalam jumlah besar melalui Kyber dari Uniswap. Karena likuiditas WBTC di Uniswap tidak cukup, operasi ini langsung mendorong harga WBTC naik. Akibatnya, Fulcrum terpaksa membeli WBTC dengan harga lebih tinggi dari pasar, sementara pelaku serangan mendapatkan keuntungan dari selisih harga tersebut, tidak hanya melunasi pinjaman ETH, tetapi juga mendapatkan keuntungan bersih.

Ada juga serangan lain yang menargetkan protokol bZX, di mana pelaku memanfaatkan pinjaman kilat untuk membeli sUSD dalam jumlah besar di Kyber, sehingga harga stablecoin tersebut dari 1 dolar melonjak ke 2 dolar. Karena kontrak pintar hanya melihat harga di blockchain dan tidak memahami bahwa stablecoin ini sebenarnya terikat, pelaku serangan meminjam lebih banyak ETH dengan sUSD yang nilainya dua kali lipat, lalu kabur. Seluruh proses ini terjadi dalam satu blok.

Melihat kasus-kasus ini, banyak orang mulai khawatir bahwa pinjaman kilat bisa menjadi bom waktu di DeFi. Tapi sebenarnya, solusi pertahanan juga sedang berkembang.

Solusi paling langsung adalah menggunakan oracle terdesentralisasi. Daripada percaya pada satu harga dari DEX tunggal, lebih baik menggabungkan data dari berbagai sumber untuk mendapatkan “harga nyata”. Dengan cara ini, meskipun ada yang mencoba memanipulasi harga, oracle bisa mengenali kejanggalan. Ada juga pendekatan meningkatkan frekuensi pembaruan harga, agar harga selalu terbaru dan memperkecil waktu yang bisa dimanfaatkan untuk manipulasi.

Lebih cerdas lagi adalah metode penetapan harga berbasis rata-rata tertimbang waktu (TWAP). Pendekatan ini menggunakan rata-rata harga dari beberapa blok, bukan harga saat itu dari satu blok saja, sehingga biaya untuk memanipulasi TWAP jauh lebih besar. Beberapa protokol bahkan mensyaratkan transaksi harus melintasi dua blok untuk diselesaikan, yang semakin meningkatkan kesulitan serangan.

Tentu saja, seiring serangan pinjaman kilat menjadi semakin kompleks, mekanisme pertahanan juga terus meningkat. Saat ini sudah ada protokol yang mengintegrasikan alat deteksi serangan, mampu mendeteksi pola transaksi yang mencurigakan secara real-time.

Pada akhirnya, DeFi masih merupakan ekosistem yang sangat muda, pinjaman kilat sendiri bukanlah masalah utama, melainkan bagaimana merancang protokol yang lebih aman. Setiap serangan sebenarnya mendorong kemajuan industri ini. Saya percaya, seiring langkah-langkah perlindungan yang semakin lengkap, pinjaman kilat akan kembali ke fungsi aslinya — mendukung inovasi dalam aplikasi keuangan, bukan menjadi alat bagi peretas untuk mencuri dana.