Belakangan ini meninjau kembali masa gelap DeFi bulan April, masih terasa sedikit trauma. Dalam waktu hanya 18 hari, kerugian ekosistem melebihi 600 juta dolar, dan kisah di balik angka-angka itu lebih patut diwaspadai daripada angka itu sendiri.

Kejadian dimulai dari Drift Protocol. Pada 1 April, banyak orang mengira itu lelucon April Mop, tetapi dalam 12 menit 285 juta dolar hilang. Baru kemudian diketahui bahwa kelompok Lazarus dari Korea Utara menghabiskan setengah tahun untuk menyusup, dari rekayasa sosial, pertemuan offline, hingga menyisipkan malware, akhirnya mendapatkan hak pengelolaan dan mengosongkan beberapa brankas sekaligus. Apa yang ini tunjukkan? Keamanan di blockchain yang ketat pun tidak berguna, selama proses pengelolaan offline gagal, dompet multi-tanda tangan menjadi sekadar hiasan.

Selanjutnya, jembatan lintas rantai Hyperbridge diserang, peretas memanfaatkan celah verifikasi bukti Merkle untuk mencetak 1 miliar token DOT virtual secara palsu. Tapi ini belum yang terparah. Pada 18 April, rsETH dari Kelp DAO diretas ulang, pelaku serangan melalui infiltrasi RPC dan DDoS mengaku-aku 116.500 rsETH (sekitar 292 juta dolar), token palsu ini kemudian dijadikan jaminan di Aave dan Compound, meminjam 236 juta dolar WETH.

Bencana sejati adalah reaksi berantai. Aave sebagai pasar pinjaman terbesar, digunakan pengguna untuk melakukan pinjaman berleverage pada rsETH—menyimpan LRT, meminjam ETH, lalu menukar lebih banyak LRT. Ketika pasar bergejolak, semua ini runtuh dalam sekejap. Dalam 48 jam, lebih dari 6 miliar dolar dana melarikan diri dari Aave, dan total nilai terkunci (TVL) seluruh pasar DeFi menguap sebesar 13 miliar dolar.

Saya memperhatikan fenomena menarik: ketika hasil tahunan USDC di Aave turun ke 2,61%, di bawah 3,14% yang ditawarkan broker tradisional Interactive Brokers, motivasi pengguna untuk menanggung risiko kontrak pintar pun hilang. Kekhawatiran keamanan apa pun cukup untuk membuat dana leverage hancur seketika. Ini mencerminkan bahwa lingkungan hasil DeFi sedang berubah, dan mekanisme penetapan risiko perlu dipikirkan ulang.

Yang menarik, dalam krisis ini juga terlihat kompromi. Komite keamanan Arbitrum membekukan 30.700 ETH milik pelaku serangan, Tether bekerja sama dengan penegak hukum membekukan USDT senilai 344 juta dolar. Langkah-langkah ini meskipun dipuji, juga memicu pertanyaan tentang realitas ideal desentralisasi—ketika keberlangsungan terancam, kontrol multi-tanda tangan akan diaktifkan.

Pemulihan pasca bencana sedang berlangsung. Aave telah mengumpulkan sekitar 243 juta dolar untuk mengkompensasi kerugian, pengembang mulai beralih ke dompet MPC, jembatan lintas rantai ZK, dan sistem verifikasi yang lebih defensif.

Pelajaran dari krisis bulan April ini sangat jelas: saat mencari hasil, harus mempertimbangkan risiko portofolio secara menyeluruh, keamanan, desentralisasi, dan ketersediaan harus berkembang secara bersamaan. Jika tidak, inovasi teknologi sebanyak apa pun tidak akan mampu bertahan.