Peringatan dari ahli audit terkemuka: Semua DeFi tidak aman, segera tarik!

Original | Odaily 星球日报（@OdailyChina）

Penulis｜Azuma（@azuma_eth）

“Saya percaya semua DeFi sudah tidak aman lagi.”

Pernyataan ini dari pendiri OpenZeppelin Manuel Aráoz yang dia tinggalkan di X kemarin, seperti bom waktu, kembali mengguncang pasar DeFi yang sudah seperti kubangan air mati.

Manuel bahkan menyatakan, dia mulai menyarankan kerabat dan teman untuk menarik dana dari berbagai protokol DeFi besar, termasuk Aave, MakerDAO, dan Compound yang dulu dianggap sebagai protokol blue-chip berisiko rendah.

Ini bukanlah omong kosong dari orang awam. Sebaliknya, Manuel sendiri adalah salah satu pembangun inti dari sistem keamanan DeFi, dan OpenZeppelin adalah salah satu perusahaan audit keamanan paling utama di industri, dengan perpustakaan kontrak, standar keamanan, dan kerangka audit yang hampir meresap ke seluruh dunia DeFi.

Alasan yang membuat Manuel berbalik sikap sepenuhnya, adalah AI. Manuel pesimis bahwa, Kemampuan Agen Coding AI dalam mengidentifikasi dan mengeksploitasi celah kontrak pintar sedang menunjukkan peningkatan eksponensial.

Ini berarti, masalah yang dulu membutuhkan tim white-hat terbaik berminggu-minggu untuk ditemukan, sekarang mungkin bisa dipindai oleh AI dalam hitungan menit; hacker yang dulu harus mempelajari logika protokol secara mendalam, kini bisa langsung dianalisis otomatis oleh AI untuk jalur serangan; keunggulan DeFi yang dulu “transparan dan terbuka” kini justru menjadi bahan latihan terbaik bagi penyerang.

Manuel juga menyebutkan masalah yang lebih mematikan, Keamanan kontrak pintar pada dasarnya adalah permainan yang sangat tidak seimbang — pihak pertahanan harus memperbaiki semua celah, sementara penyerang cukup menemukan satu saja untuk mencuri dana. Setelah AI mulai mempercepat serangan secara eksponensial, ketidakseimbangan ini semakin cepat mengarah ke ketertinggalan.

Realitas dingin: DeFi sudah menjadi ATM perampok

Melihat kembali beberapa bulan terakhir dari insiden keamanan DeFi, Anda akan menyadari kekhawatiran Manuel bukanlah omong kosong.

April hampir menjadi bulan terburuk dalam sejarah DeFi.

• Pada 1 April, hari April Mop, Drift Protocol kehilangan 280 juta dolar AS akibat peretasan hak akses pengelola dan celah eksekusi multi-sig (lihat “Lelucon April Mop? Drift Protocol Dicuri Lebih dari 2,8 Miliar Dolar, Bisa Jadi Perampokan DeFi Terbesar Kedua di Ekosistem Solana”).
• Kemudian pada 19 April, Kelp DAO kehilangan 292 juta dolar AS akibat peretasan protokol jembatan (lihat “DeFi Kembali Dicuri 292 Juta Dolar, Apakah Aave Sekarang Tidak Aman?”), hacker kemudian melarikan diri dengan memanfaatkan protokol pinjaman seperti Aave, menyebabkan seluruh ekosistem DeFi terjebak dalam bayang-bayang kerugian dan dampak berantai.

Dan memasuki bulan Mei, insiden tidak berkurang, malah semakin meluas.

• Pada 15 Mei, THORChain diserang, operator node baru yang memanfaatkan celah skema tanda tangan threshold GG20 (TSS), merekonstruksi kunci rahasia vault, mengeksekusi transaksi keluar, dan menyebabkan kerugian lebih dari 10 juta dolar AS.
• Pada 18 Mei, protokol jembatan Verus diserang, pelaku memalsukan payload cross-chain, melewati verifikasi dan menarik aset dari cadangan Ethereum, mencuri sekitar 11,58 juta dolar AS.
• Pada 19 Mei, protokol Echo di atas Monad diserang karena bocornya kunci rahasia, pelaku mencetak 1000 eBTC (senilai 76,7 juta dolar AS), dan melalui jalur serangan yang sudah diuji sebelumnya, menarik dana melalui Curvance.
• Pada 24 Mei, penerbit stablecoin yang patuh di bawah kerangka regulasi MiCA, StablR, diserang, hacker memperoleh keuntungan lebih dari 2,8 juta dolar AS melalui penerbitan EURR dan USDR, dan menyebabkan EURR serta USDR kehilangan peg.
• Pada 25 Mei, modul SquidRouter diserang, 86 dompet Gnosis Safe dicuri sekitar 3 juta dolar AS.
• Pada 27 Mei, kunci pribadi deployer StakeDAO bocor di Arbitrum, pelaku mencetak sekitar 5,45 triliun vsdCRV, dan sebagian ditukar menjadi 43,7 ETH untuk melarikan diri.

Insiden keamanan yang sering terjadi ini telah membunyikan alarm, dari kode di chain hingga pengelolaan off-chain, DeFi tampaknya sedang kehilangan kendali secara menyeluruh.

AI Menjadi Senjata Nuklir Peretas

Mengapa pertahanan dan serangan DeFi di musim panas ini menunjukkan percepatan keruntuhan? Selain evolusi teknologi hacking tradisional, kemajuan besar dalam model AI sedang menjadi faktor penentu yang memecah keseimbangan.

Dulu, mencari celah dalam kontrak pintar yang kompleks (terutama yang melibatkan cross-chain, nested multi-layer, atau logika re-entry yang sangat tersembunyi) membutuhkan hacker top selama berminggu-minggu bahkan berbulan-bulan untuk menelusuri kode. Namun, seiring munculnya agen AI yang mampu memahami konteks panjang, melakukan reasoning logika yang kuat, dan memanggil alat secara mandiri, semuanya berubah.

• Pindai dalam hitungan detik dan temukan “zero-day” di seluruh jaringan: Hacker cukup memberi kode sumber terbuka ke AI terbaru, dan AI dapat dalam beberapa detik seperti pakar keamanan berpengalaman, mensimulasikan ratusan skenario ekstrem, dan menemukan kondisi batas yang sering terlewatkan oleh auditor manusia.
• Pembuatan skrip serangan otomatis: AI tidak hanya mampu menemukan celah, tetapi juga mampu menulis, menguji, dan men-deploy kontrak pintar “peretas” yang digunakan untuk mengeksploitasi dana.
• Koordinasi DevOps dan social engineering secara otomatis: AI bisa menyamar sebagai pengembang yang sempurna untuk melakukan phishing, atau memantau terus-menerus aktivitas GitHub tim DeFi. Begitu tim mengunggah kode yang berisi informasi sensitif atau perbaikan yang belum diverifikasi, AI akan melancarkan serangan dalam hitungan detik — jauh lebih cepat dari waktu respons manusia.

Dalam perang keamanan yang didukung AI ini, peretas memiliki hampir tak terbatas peluru dan kecepatan serangan dalam hitungan detik, sementara DeFi yang bergantung pada proses pengambilan keputusan lambat, multi-sig, dan audit keamanan yang tertunda, sulit memberikan pertahanan yang memadai.

Bulan lalu, perusahaan pengembang AI di balik Claude, Anthropic, secara resmi mengumumkan model generasi terbaru Mythos (lihat “Anthropic Menghasilkan Model AI Terkuat Sejarah, Tapi Tak Berani Dirilis...” ). Ini adalah model pertama dalam sejarah manusia yang memiliki total parameter melampaui 100 triliun (dibandingkan dengan model utama yang beredar saat ini yang berkisar ratusan miliar hingga satu triliun), dengan biaya pelatihan mencapai 10 miliar dolar AS.

Namun, karena kemampuan spesialisasi Mythos dalam keamanan siber (Anthropic pernah mengungkapkan bahwa dalam beberapa minggu mereka mampu mengidentifikasi ribuan zero-day), perusahaan ini bahkan tidak berani merilis model ini secara terbuka, takut disalahgunakan hacker, dan berencana mengujinya terlebih dahulu melalui program “sayap kaca” untuk mendeteksi dan memperbaiki kerentanan.

Situasi keamanan DeFi saat ini tetap sangat serius, dan sulit membayangkan apa yang akan terjadi setelah Mythos dirilis secara umum, dan bagaimana industri akan menghadapi ancaman baru yang muncul.

Masalah terbesar: Rasio risiko-imbalan sudah tidak seimbang

Bagi peserta DeFi biasa, penyedia likuiditas (LP), dan whale besar, saat ini pertanyaan terpenting adalah, mari kita hitung-hitung dulu.

Selama ini, pengguna memilih menyimpan dana di DeFi karena mengincar imbal hasil tahunan yang jauh lebih tinggi dari keuangan tradisional. Saat pasar sedang bullish atau saat melakukan liquidity mining, imbal hasil 10%, 20%, bahkan lebih tinggi, cukup untuk menutupi ekspektasi risiko teknologi yang mereka miliki.

Namun hari ini, logika dasar ini sudah goyah bahkan terbalik, rasio risiko-imbalan di DeFi sudah tidak seimbang lagi. Di sisi imbal, saat pasar memasuki fase persaingan stok, cadangan keamanan meningkat, dan yield dari protokol utama yang relatif terpercaya sudah turun ke angka satu digit; di sisi risiko, modal pengguna terpapar pada black box yang bisa diretas AI dalam hitungan menit, token bisa nol, pool bisa dikuras, dan tidak ada hukum, asuransi, atau bank sentral yang bisa menjamin.

Mengambil risiko kehilangan 100% modal untuk mendapatkan sekitar 5% imbal tahunan jelas bukan pilihan yang masuk akal.

Mungkin kata Manuel terdengar sangat ekstrem, tetapi dia membuka tabir terakhir dari DeFi. Di tengah kenyataan bahwa hacker sudah menjadikan AI sebagai senjata rutin, dan insiden keamanan terus bermunculan, jika Anda tidak siap secara mental untuk kehilangan 100% modal demi keuntungan tertentu, maka “segera tarik dana dan amankan keuntungan” mungkin adalah langkah paling rasional dan sesuai prinsip manajemen risiko saat ini.