1 April 2026, waktu UTC 16:05:18, penyerang mengirimkan transaksi ke Drift Protocol. Satu detik kemudian, transaksi lain menyetujuinya.
Dua belas menit kemudian, $285 juta hilang. Tujuh belas hari setelahnya, seorang validator yang disusupi pada jembatan lintas rantai KelpDAO sendiri mencetak token tanpa dukungan senilai $292 juta, dan dalam 48 jam memicu arus keluar dana sekitar $85 miliar dari Aave, sementara protokol DeFi lainnya juga mengalami arus keluar sekitar $45 miliar.
Dua belas hari lagi kemudian, seorang penyerang yang memegang kunci privat penyebar yang dicuri mengalirkan $4,5 juta dari Wasabi Protocol melintasi empat rantai.
Tidak satupun dari peristiwa ini disebabkan oleh eksploitasi kerentanan kontrak pintar.
Selama lebih dari setengah dekade, DeFi yakin bahwa keamanan adalah masalah kode. Audit, verifikasi formal, program bug bounty — seluruh industri mengatur diri di sekitar premis: selama logika kontrak pintar rapat, protokolnya aman. Matematika adalah hukum. April 2026 adalah bulan ketika premis itu runtuh di mata publik.
Lebih dari $625 juta hilang dalam sebulan melintasi sekitar 30 peristiwa — menurut data DefiLlama, ini adalah bulan terparah yang pernah diretas dalam sejarah crypto berdasarkan jumlah kejadian — dan setiap kerugian besar dapat ditelusuri ke kunci privat admin, validator jembatan lintas rantai, blind spot oracle, atau serangan rekayasa sosial, semuanya adalah fondasi operasional yang tidak pernah dirancang untuk dicakup oleh audit.
Artikel ini membahas pergeseran ini. Kami akan membedah tiga peretasan besar April menjadi tiga wajah kegagalan mendasar yang sama, merekonstruksi bagaimana konfigurasi jembatan lintas rantai yang salah dari satu protokol memicu arus keluar $13,2 miliar dari protokol yang 25 kali lebih besar, dan dengan jujur memeriksa realitas DeFi saat ini — pada dasarnya, ini adalah infrastruktur terbuka dengan leverage operasional yang dipercaya, meskipun pemasaran tidak mengatakannya. Masalahnya bukan pada matematika.
Masalahnya ada pada 'model mental' yang menyelubungi matematika itu.
Matematika tidak rusak. Yang rusak adalah model mental yang ditempatkan di atasnya, dan biaya ketidaksesuaian ini memaksa industri untuk mempertimbangkan kembali apa sebenarnya yang dimaksud dengan 'desentralisasi'.
Kesenjangan Model Mental
Dalam sebagian besar sejarah DeFi, budaya keamanan arus utama berbasis pada Solidity. Audit memeriksa logika kontrak. Bug bounty membayar untuk reentrancy, integer overflow, kesalahan pengubah akses. Verifikasi formal membuktikan invarian untuk kode di rantai. Asumsi implisitnya: segala sesuatu di luar kontrak — multisig, kunci privat penyebar, validator jembatan lintas rantai, infrastruktur Relayer, saluran komunikasi tim — berada di luar lingkup atau adalah masalah orang lain.
Asumsi ini hanya valid selama para penyerang mengeksploitasi kerentanan Solidity.
Beberapa peretasan April 2026 memiliki ciri struktural yang tidak dapat digambarkan oleh laporan audit: kontrak pintar itu sendiri tidak memiliki kerentanan. Menurut rekonstruksi peneliti rantai independen, kode Drift diaudit sekali oleh Trail of Bits pada 2022, dan sekali lagi oleh ClawSecure pada Februari 2026, keduanya lulus.
Tidak satu pun dari dua audit itu mencakup konfigurasi multisig Drift, logika penanganan durable nonce, atau permukaan serangan rekayasa sosial di sekitar Security Council-nya. Adapter LayerZero KelpDAO adalah kode templat OFT standar, kontraknya sendiri tidak masalah. Kesalahan ada pada konfigurasi penyebaran, yang biasanya berada di luar lingkup rutin audit Solidity.
Kontrak Vault Wasabi dirancang untuk dapat di-upgrade; desain itu sendiri adalah kerentanannya.
Apa yang runtuh pada April bukanlah matematika, tetapi fondasi operasional tempat matematika itu berjalan.
Tiga Anatomi: Tiga Wajah dari Kegagalan yang Sama
Tiga peretasan serius April 2026 — Drift, KelpDAO, Wasabi — mewakili tiga jenis 'kegagalan non-kode' yang berbeda.
Ketiganya bersama-sama mencakup sebagian besar permukaan serangan baru, dan berbagi ciri struktural yang sama: dalam setiap peristiwa, satu atau dua entitas atau infrastruktur yang dikompromikan menghasilkan efek domino ke seluruh protokol.
Drift: Multisig Manusia ($285 Juta)
Peretasan Drift adalah operasi intelijen, bukan eksploitasi kerentanan. Penyerang diidentifikasi oleh analisis TRM Labs, Elliptic, dan Drift sendiri dengan bantuan SEAL 911 sebagai Lazarus Group Korea Utara, khusus sub-kelompok UNC4736, yang sebelumnya dikaitkan Mandiant dengan peretasan Radiant Capital Oktober 2024.
Penyerang menghabiskan sekitar enam bulan merencanakan operasi ini. Rekayasa sosial dimulai pada konferensi industri musim gugur 2025, persiapan rantai baru dimulai tiga minggu sebelum peristiwa.
11 Maret 2026, operasi dimulai dengan 10 ETH yang ditarik dari Tornado Cash. Keesokan harinya, sekitar pukul 09:00 waktu Pyongyang, dana ini digunakan untuk menyebarkan CarbonVote Token (CVT) di Solana. Penyerang membuat pool likuiditas kecil di Raydium, melakukan wash trading CVT untuk mengikat harga pasar di sekitar $1, lalu membuat oracle harga yang mereka kendalikan, memberi makan harga buatan ini ke Drift.
Wash trading ada untuk membuat output oracle 'terlihat sah' — siapa pun yang memeriksa secara acak akan menemukan harga pasar sejalan dengan harga oracle.
Sementara itu, penyerang menyamar sebagai firma perdagangan kuantitatif, membangun hubungan dengan kontributor Drift selama berminggu-minggu. Tujuannya bukan untuk mengumpulkan informasi, tetapi untuk membangun kepercayaan terlebih dahulu untuk momen tertentu.
Momen itu bergantung pada fitur Solana yang disebut durable nonce (nonce abadi): mekanisme sah yang memungkinkan 'ditandatangani hari ini, dieksekusi nanti'. Antara 23 Maret dan 30 Maret, penyerang memperoleh tanda tangan durable nonce dari setidaknya dua dari lima anggota Security Council Drift.
Dari sudut pandang penandatangan, mereka menyetujui transaksi rutin. Dari sudut pandang jaringan, tanda tangan ini adalah kredensial otorisasi yang valid, dalam keadaan tidak aktif tetapi valid.
26 Maret, Drift membuat keputusan yang kemudian terlihat bencana: bermigrasi ke multisig Security Council 2-of-5 baru dengan timelock nol. Migrasi ini menghilangkan jendela penundaan yang mungkin mendeteksi atau mengintervensi serangan.
1 April UTC 16:05:18, penyerang mengirimkan transaksi pertama yang telah ditandatangani sebelumnya dengan durable nonce — sebuah proposal untuk mentransfer kontrol admin ke alamat H7PiGqqUaanBovwKgEtreJbKmQe6dbq6VTrw6guy7ZgL. Satu detik kemudian, UTC 16:05:19, transaksi kedua yang telah ditandatangani sebelumnya menyetujui dan mengeksekusinya. Penyerang mengambil alih Drift.
Apa yang terjadi selanjutnya hanya memakan waktu dua belas menit. Penyerang mencantumkan CVT yang tidak berharga sebagai kolateral, dengan batas pinjaman hampir tak terbatas, menyetor 500 juta CVT dengan harga oracle yang dimanipulasi, lalu menarik $285 juta aset nyata dari tiga Vault inti — JLP, USDC, SOL, cbBTC, wBTC, ETH. TVL Drift runtuh dari $550 juta menjadi sekitar $250 juta. Dua penandatangan, satu protokol, kontrak pintar berfungsi persis seperti dirancang. Kerentanan ada pada 'manusia'.
Ada satu hal tentang respons pasca-peristiwa Drift yang layak disebutkan secara khusus, karena berkaitan dengan standar yang harus dicapai protokol korban berikutnya: pengungkapan pasca-peristiwa Drift sendiri sangat jujur.
Dalam lima hari setelah eksploitasi terungkap, tim merilis rekonstruksi terperinci serangan rekayasa sosial — termasuk fakta-fakta berikut: kontributor dihubungi beberapa kali selama setengah tahun; setidaknya dua kontributor mungkin dikompromikan melalui kloning repositori kode dan versi beta dompet TestFlight; obrolan Telegram dengan penyerang dihapus sebelum dan sesudah serangan; keputusan untuk bermigrasi ke multisig dengan timelock nol enam hari sebelum peristiwa, menghilangkan jendela deteksi terakhir.
Tim juga secara terbuka mengungkap atribusi serangan dengan kepercayaan sedang (UNC4736 / Citrine Sleet), berkoordinasi dengan SEAL 911, dan berbagi detail operasional yang dapat membantu protokol lain mengidentifikasi taktik yang sama.
Protokol korban sering mundur ke kehati-hatian hukum dan bahasa yang samar; Drift memilih untuk merilis narasi dengan kualitas forensik yang mengubah satu peristiwa menjadi intelijen ancaman untuk seluruh industri. Peristiwanya sendiri tetap peretasan, kerentanan tata kelola dasarnya tetap kerentanan. Tetapi kesediaan untuk mengungkapkan 'bagaimana rekayasa sosial bekerja' adalah hal kunci yang membedakan protokol yang berkontribusi pada pembelajaran kolektif industri, dengan protokol yang hanya menelan kerugian dalam diam.
KelpDAO: Validator Tunggal ($292 Juta)
Tujuh belas hari kemudian pada 18 April, profil ancaman yang sama menghasilkan serangan yang secara struktural sama sekali berbeda. KelpDAO adalah protokol restaking likuiditas, yang menerbitkan rsETH — token yang mewakili deposit pengguna, dirutekan melalui EigenLayer untuk mendapatkan hasil tambahan.
Pada April 2026, TVL rsETH melebihi $10 miliar, dan telah disebarkan di lebih dari 20 rantai melalui standar OFT (Omnichain Fungible Token) LayerZero.
Kontraknya tidak masalah. Konfigurasinya bermasalah.
Jembatan lintas rantai KelpDAO berjalan pada DVN (Decentralized Verifier Network) 1-of-1 — artinya hanya ada satu validator. Satu node cukup untuk menyetujui pesan lintas rantai. 'Desentralisasi' adalah kosakata, bukan arsitektur.
Serangan dilakukan secara bertahap. Penyerang pertama-tama menyusupi node RPC internal tempat validator bergantung untuk membaca status rantai sumber, lalu meluncurkan serangan DDoS terkoordinasi terhadap node eksternal, memaksa sistem mundur ke infrastruktur yang telah dikompromikan. Dengan sumber data di bawah kendali mereka, mereka memalsukan pesan lintas rantai yang menginstruksikan kontrak mainnet Ethereum KelpDAO untuk mencetak rsETH berdasarkan 'pembakaran yang tidak pernah terjadi di rantai sumber mana pun'.
UTC 17:35, kontrak merilis 116.500 rsETH — senilai sekitar $292 juta, sekitar 18% dari pasokan yang beredar token — ke alamat yang dikendalikan penyerang. Dalam beberapa menit, rsETH ini disetor sebagai kolateral ke Aave, dengan valuasi sekitar $2.500 per token.
Penyerang meminjam WETH, USDC, wBTC nyata dengan kolateral tanpa dukungan, akhirnya menarik lebih dari 82.600 ETH (sekitar $191 juta) sebelum KelpDAO menjeda kontrak pada UTC 18:21.
Dua upaya lanjutan pada UTC 18:26 dan 18:28, masing-masing mencoba menarik 40.000 rsETH lagi, keduanya di-rollback. Penjeda menghentikan kerugian lebih lanjut, tetapi tidak menghentikan yang awal.
Tidak ada kerentanan reentrancy, tidak ada pemeriksaan akses yang hilang, juga tidak ada manipulasi oracle dalam logika Kelp sendiri. Invariant akuntansi yang mendefinisikan jembatan lintas rantai — aset yang dirilis di rantai tujuan harus sama dengan yang dibakar di rantai sumber — dilanggar pada tingkat sistem, bukan pada tingkat transaksi. Satu node, kerugian ratusan juta dolar.
Apa yang terjadi selanjutnya adalah perselisihan publik: di mana sebenarnya tanggung jawab berada? Laporan pasca-peristiwa awal LayerZero langsung menyalahkan Kelp, dengan alasan Kelp melanggar pedoman dengan memilih DVN 1-of-1. Memoranda bantahan Kelp pada 5 Mei melukiskan gambaran berbeda: 47% kontrak OApp LayerZero aktif pada saat itu — sekitar 1.250 aplikasi, dengan kapitalisasi pasar gabungan lebih dari $45 miliar — berjalan pada konfigurasi validator tunggal yang sama.
Kelp berargumen: OFT Quickstart, contoh GitHub, dan template pengembang LayerZero sendiri keluar dari pabrik dengan DVN milik LayerZero Labs sebagai validator wajib, dan tidak ada yang kedua; dan menunjukkan cuplikan Telegram dari staf LayerZero yang mengatakan kepada tim Kelp selama dua setengah tahun dan delapan diskusi integrasi bahwa 'menggunakan nilai default tidak apa-apa'.
Peneliti keamanan Sujith Somraaj (mantan auditor LayerZero) pernah mengirimkan laporan bug bounty ke Immunefi yang secara tepat menggambarkan pola serangan ini, ditolak oleh LayerZero dengan alasan 'pilihan jaringan validator adalah konfigurasi lapisan aplikasi'.
Tanggapan LayerZero terhadap memoranda Kelp adalah: pernyataan ini menyesatkan. Mengeluarkan 'konfigurasi lapisan aplikasi' dari bug bounty adalah batas 'platform/aplikasi' standar (juru bicara LayerZero mencatat, jika tidak, 'aplikasi apa pun dapat menetapkan dirinya sebagai satu-satunya DVN dan secara jahat mengklaim hadiah'); nilai default protokol di hampir semua jalur sebenarnya adalah multi-DVN; dan untuk template yang memiliki 1-of-1, satu-satunya DVN itu menunjuk ke kontrak placeholder yang disebut 'DeadDVN', yang akan menolak semua pesan, memaksa pengembang untuk mengonfigurasi tumpukan keamanan mereka sendiri sebelum diluncurkan.
Untuk Kelp, LayerZero menyatakan Kelp awalnya menyebarkan multi-DVN, dan kemudian secara manual menurunkan ke 1-of-1 — bukan 'menggunakan nilai default'.
Batas platform vs. aplikasi memang merupakan titik perselisihan nyata, dan insinyur rasional dapat berbeda pendapat tentang 'apakah platform yang templatenya dapat dikonfigurasi ke keadaan berbahaya bertanggung jawab atas konfigurasi yang sebenarnya disebarkan pengguna'.
Apa yang kurang dapat diperdebatkan adalah bagian kedua dari respons akhir LayerZero. Pada 8 Mei, tiga minggu setelah laporan pasca-peristiwa pertama, LayerZero membalikkan dan meminta maaf: 'Kami melakukan kesalahan dengan mengizinkan DVN kami beroperasi sebagai DVN 1-of-1 untuk transaksi bernilai tinggi. Kami tidak membatasi DVN kami dalam hal apa yang dilindungi.'
Protokol menghentikan dukungan untuk 1-of-1 dalam sistem DVN, memigrasi nilai default ke 5-of-5, menaikkan ambang multisig sendiri dari 3-of-5 menjadi 7-of-10, dan mengumumkan platform pemantauan penerbit baru (Console).
Apakah konfigurasi dasar ini kesalahan Kelp, kesalahan LayerZero, atau — yang paling mungkin — kegagalan bersama antara platform yang keluar dari pabrik dapat dikonfigurasi menjadi berbahaya dan integratif yang secara aktif menurunkan, respons akhir kedua belah pihak menyatu pada jawaban yang sama: verifikasi 1-of-1 tidak aman pada skala, dan industri seharusnya tidak perlu belajar hal ini dengan biaya $292 juta.
Wasabi: Kunci Privat Admin ($4,5 Juta)
Wasabi pada 30 April lebih kecil satu urutan besarnya daripada dua lainnya, dan justru karena itu lebih memalukan. Ini adalah 'peretasan yang membosankan'.
Sebuah EOA penyebar — alamat 0x5c629f8c0b5368f523c85bfe79d2a8efb64fb0c8 — memegang ADMIN_ROLE dalam manajer kontrak perpetual Wasabi yang disebarkan di rantai Ethereum, Base, Blast, dan Bera. Tidak ada multisig. Kerangka kontrak mendukung timelock, tetapi nilai konfigurasinya nol.
Penyerang mendapatkan kunci privat itu — phising, kompromi perangkat, serangan rantai pasokan semua masih mungkin, Wasabi tidak memberikan kesimpulan pasti. Dengan ADMIN_ROLE, mereka memberikan peran yang sama ke kontrak bantu jahat, melakukan upgrade proxy UUPS ke kontrak Vault, menyedot kolateral dan saldo pool. Total kerugian lintas rantai $4,5–5,5 juta.
Wasabi tidak menggunakan teknologi baru apa pun. Kerentanan seperti ini telah diperingatkan sebagai anti-pola DeFi selama bertahun-tahun: konsentrasi kekuasaan admin yang berlebihan, kurangnya pemisahan kekuasaan, tidak adanya jendela penundaan. Ini adalah kerentanan yang sama yang telah dipukul, ditulis laporan pasca-peristiwanya, tetapi tidak pernah diperbaiki dalam praktiknya sejak 2020.
Menyambungkan ketiganya: pada akhirnya, mereka adalah jenis peretasan yang sama. Terlepas dari apakah akses istimewa diperoleh melalui manipulasi penandatangan, kompromi node validator, atau pencurian kunci privat penyebar, permukaan serangannya sama — konsentrasi kekuasaan di luar lapisan kontrak pintar, dengan perlindungan yang tidak memadai. Pola ini sekaligus peringatan: dalam setiap peristiwa, satu atau dua entitas yang dikompromikan memicu rantai domino yang tidak dapat dihentikan oleh Solidity yang diperkuat sekalipun.
Domino Asimetris
Alasan peristiwa KelpDAO penting melampaui nilai dolar itu sendiri adalah karena apa yang terjadi setelahnya — ini adalah uji tekanan pertama yang sesungguhnya terhadap komposabilitas DeFi di bawah kegagalan operasional — dan sekaligus kasus yang sejauh ini paling menggambarkan 'betapa tidak simetrisnya matematika penularan'.
Mari kita jelaskan skalanya: pada saat kejadian, TVL rsETH KelpDAO sekitar $10 miliar; AUM Aave di semua rantai melebihi $250 miliar. Sebuah protokol yang ukurannya hanya sekitar 4% dari Aave, dengan satu peristiwa saja menarik $84,5 miliar dari Aave dalam 48 jam — angka ini tumbuh menjadi $151 miliar dalam tiga setengah hari — sementara TVL DeFi secara keseluruhan turun $132,1 miliar dalam jendela 48 jam itu. Asimetri itulah cerita sebenarnya.
Sebuah protokol kecil dengan konfigurasi jembatan lintas rantai yang salah, memicu bank run pada protokol yang jauh lebih besar yang, menurut semua metrik kontraknya sendiri, 'berjalan sesuai spesifikasi'.
Ketika penyerang mencetak rsETH tanpa dukungan dan menyetornya ke Aave, kontrak Aave berjalan persis sesuai spesifikasi. Oracle-nya, dalam jendela singkat saat penyerang meminjam, masih membaca rsETH mendekati 1:1. Pool pinjaman mengeluarkan WETH nyata, melawan kolateral yang 'valid' bagi semua sistem di rantai.
Reaksi pasar langsung. rsETH diperdagangkan dengan diskon mendalam di DEX dalam beberapa jam, mencerminkan ketidakpastian nyata — apakah 82% pasokan yang tersisa masih sepenuhnya didukung. Aave V3 dan V4 membekukan pasar rsETH; Fluid, Compound, Euler, Morpho mengikuti dalam beberapa jam (SparkLend telah menurunkan rsETH pada Januari).
Pemegang rsETH di Arbitrum, Base, Mantle, Linea, Blast, Scroll sekarang memiliki token yang tidak dapat mereka yakini dapat ditukar 1:1 kembali ke custodian mainnet Ethereum.
Arus keluar dana berikutnya bukan karena Aave diretas, tetapi karena penyimpan tidak dapat memastikan apakah kolateral yang menjamin pinjaman mereka masih solvent.
Beberapa minggu sebelum peristiwa, Aave telah mengumpulkan posisi rsETH yang cukup besar, karena pengguna melakukan perdagangan leverage restaking; protokol mendapat biaya darinya, tanpa menetapkan batas atas untuk eksposur ini. Jadi penularan ini bukan murni logika 'pengamat tak bersalah' — Aave sendiri memilih untuk mengambil risiko counterparty — tetapi pemicu peristiwa berada di luar kontraknya sendiri, dan di luar jangkauan tata kelola yang dapat dideteksinya.
Respons Aave terhadap peristiwa ini layak dicatat secara terpisah, karena menetapkan standar yang akan diukur oleh protokol pinjaman besar lainnya. Dalam beberapa jam setelah eksploitasi terungkap, admin darurat protokol membekukan pasar rsETH di V3 dan V4 di semua rantai yang terkena dampak, menetapkan LTV ke nol, menghentikan kerugian lebih lanjut.
Dalam 48 jam, penyedia layanan Aave memposting laporan peristiwa terperinci di forum tata kelola, secara terbuka memodelkan dua skenario kredit macet yang berbeda — jika Kelp mensosialisasikan kerugian di antara semua pemegang rsETH, kredit macet $123,7 juta; jika kerugian diisolasi ke penyebaran L2, $230,1 juta — dilengkapi dengan rincian per rantai, menunjukkan pasar mana yang menanggung celah mana.
Pendiri Aave Stani Kulechov secara pribadi berkomitmen 5.000 ETH untuk pemulihan; aliansi DeFi United yang dipimpin oleh penyedia layanan Aave — melibatkan Lido, EtherFi, LayerZero, Mantle, dll. — mengumpulkan komitmen lebih dari $300 juta untuk mengisi celah rsETH. Ini adalah upaya penyelamatan lintas protokol terbesar sejauh ini di industri ini.
Bagian kritik lebih sempit, dan harus dilihat terpisah dari bagian respons: nada Aave berubah seiring dengan semakin jelasnya kisaran kredit macet. Janji awal bahwa cadangan Umbrella-nya akan menutupi celah, dalam beberapa hari melunak menjadi 'menjelajahi jalan untuk menutupi celah'. Pergeseran naratif kecil tetapi patut diperhatikan — asuransi tingkat protokol yang terdengar meyakinkan dalam konteks abstrak, menjadi sesuatu yang dapat dinegosiasikan begitu angkanya konkret.
Fakta bahwa Aave menangani secara operasional dengan baik tidak mengubah fakta struktural: penyimpan yang memasukkan USDC ke dalam protokol mengambil risiko counterparty terhadap token yang mungkin tidak mereka ketahui keberadaannya, dan mekanisme asuransi protokol pada akhirnya lebih lemah daripada yang disiratkan dokumentasi.
Inilah masalah struktural yang lebih dalam. Desain pool tunggal yang memberi Aave likuiditas dalam dan pengalaman yang sederhana, juga berarti bahwa satu pencantuman kolateral yang buruk memiliki radius ledakan di seluruh protokol. Bahkan jika tata kelola Aave sendiri teliti dan kontraknya kuat, protokol tetap berada di hilir kegagalan keamanan counterparty yang jauh lebih kecil — dan eksposur hilir ini cukup untuk membebani dana penyimpan sembilan digit dan memicu pembekuan pasar di sembilan protokol.
Komposabilitas yang mendorong pertumbuhan DeFi juga merupakan saluran transmisi penularannya, dan April 2026 adalah pertama kalinya tagihan ini dibayar dengan cara berskala. Tidak jelas perbaikannya. Komposabilitas yang pernah mendorong pertumbuhan DeFi, sekarang menjadi saluran 'bagaimana kegagalan operasional satu protokol menjadi bank run protokol lain'.
Kebenaran OpenFi
Kami telah sampai pada percakapan yang telah lama dihindari industri ini.
Sebut saja OpenFi: infrastruktur keuangan tanpa izin akses, dapat diaudit di rantai, tetapi secara operasional masih bergantung pada pihak ketiga tepercaya pada titik-titik kritis di mana argumen desentralisasi asli mengatakan perantara harus dihapus. Menurut definisi ini, sebagian besar hal yang dipasarkan hari ini dengan nama DeFi adalah OpenFi. Sebuah Security Council yang memiliki wewenang untuk mentransfer kontrol admin.
Sebuah jembatan lintas rantai dengan validator 1-of-1. Sebuah EOA penyebar dengan ADMIN_ROLE lintas rantai. Sebuah token tata kelola yang terkonsentrasi cukup untuk memungkinkan minoritas sabar menangkap treasury, seperti Nouns. Masing-masing adalah 'jahitan istimewa' yang ditambal ke dalam sistem yang diklaim mulus.
Perlu diingat apa sebenarnya argumen aslinya. Komputasi 'minimalisasi kepercayaan' Szabo, infrastruktur 'netral tepercaya' Buterin, tekad Cypherpunk bahwa 'privasi dan kebebasan memerlukan penghapusan, bukan audit, perantara' — ini bukan tentang 'transparansi'. Transparansi diperlukan dan mudah. Klaim yang sulit — klaim yang membayar semua gesekan dari 'menjalankan mesin status global pada puluhan ribu node redundan' — adalah bahwa 'tidak ada pihak dalam sistem yang dapat dipaksa, ditangkap, disuap, atau disusupi untuk mengubah aturan'.
Sebuah buku besar publik yang dapat Anda periksa tetapi tidak dapat pengaruhi, adalah hal yang berbeda dengan buku besar publik di mana kunci privat admin berada di dompet perangkat keras di brankas seseorang. OpenFi memegang paruh pertama dari transaksi ini, diam-diam membuang paruh kedua.
Protokol berbeda bergantung pada jenis kepercayaan yang berbeda, dengan mode kegagalan yang berbeda.
Berguna untuk menamai mereka satu per satu: kepercayaan kustodian (seseorang memegang aset nyata untuk Anda, Anda memperdagangkan klaim atasnya — jembatan lintas rantai, token wrapped); kepercayaan upgrade (seseorang dapat mengubah perilaku kontrak setelah Anda menyetor — admin proxy, Security Council); kepercayaan oracle (seseorang menyediakan data yang tidak dapat dihasilkan kontrak itu sendiri — feed harga); kepercayaan liveness (sistem berfungsi normal bergantung pada seseorang yang terus beroperasi — sequencer, Relayer, Keeper); kepercayaan tata kelola (pemegang token, atau segelintir kecil yang dapat mengumpulkan kuorum dalam suara yang diperebutkan).
Kebanyakan protokol bergantung pada tiga atau empat dari ini secara bersamaan. Kebanyakan copywriting pemasaran meruntuhkan semuanya menjadi satu kata 'desentralisasi', membiarkan pembaca menebak sisanya.
Masalah yang lebih besar adalah bahwa beberapa asumsi ini sepenuhnya tersembunyi. LayerZero dalam permintaan maaf Mei mengakui bahwa tiga setengah tahun sebelumnya, salah satu penandatangan multisig-nya pernah melakukan transaksi pribadi dengan dompet perangkat keras lingkungan produksi. Kesalahan ini diperbaiki secara internal dan tidak pernah diungkapkan kepada pengguna, akhirnya muncul sebagai bagian dari pengumuman pengerasan, dikemas sebagai pembersihan rutin, bukan pengakuan pengakuan. Pengguna sistem kepercayaan tidak memiliki cara untuk mengetahui hal ini, juga tidak memiliki cara untuk menetapkan harga risiko bahwa 'itu benar-benar terjadi'.
Industri ini memiliki eufemisme untuk celah ini: 'roda pelatihan'. Proposisi penjualannya adalah bahwa kunci privat admin dan Security Council bersifat transisional — ada hari ini, akan dihapus setelah protokol matang cukup untuk berjalan sendiri. Dalam praktiknya, roda pelatihan hampir tidak pernah dilepas. Mereka berganti nama, dikemas ulang, diperpanjang, atau diam-diam dialihkan ke yayasan.
Kerangka Stage 0 / Stage 1 / Stage 2 L2Beat adalah pengecualian terbersih, bukti keberadaan bahwa 'industri ini, jika mau, dapat secara jujur menggambarkan asumsi kepercayaan aktualnya'. Hampir tidak ada protokol yang mengadopsi bahasa L2Beat dalam pemasarannya sendiri, dan ini sendiri adalah bukti bahwa 'ketidakjujuran adalah struktural, bukan insidental'.
Ini adalah realitas teknikal, dan dibentuk oleh insentif yang dihadapi pembangun, di setiap lapisan. Jika Anda ingin meluncurkan produk kompleks dengan cepat, dapat merespons kerentanan tanpa memfork protokol, dapat mendukung jenis kolateral baru, dapat terintegrasi dengan bagian lain dari ekosistem, Anda memerlukan leverage operasional.
Kontrak yang sepenuhnya tidak dapat diubah, tanpa akses istimewa, memang kuat tetapi juga rapuh — perubahan apa pun memerlukan migrasi penuh, kerentanan apa pun menjadi permanen, fungsi baru apa pun mengharuskan pengguna memilih untuk bergabung dengan penyebaran baru. Selain faktor teknis, ada realitas lain: jadwal VC tidak mengizinkan siklus verifikasi formal tiga tahun, protokol yang diluncurkan lebih dulu mendapatkan likuiditas lebih dulu.
Komposabilitas kemudian memperbesar masalah: protokol yang tidak dapat diubah tidak dapat mengintegrasikan oracle baru, mendukung rantai baru, atau memperbaiki kerentanan yang ditemukan, tanpa memaksa semua pengguna dan integratif untuk bermigrasi.
Hasilnya adalah: untuk tim individu mana pun, pilihan rasional adalah 'rilis dengan kunci privat admin, janji akan menghapusnya di masa depan'; untuk pengguna individu mana pun, pilihan rasional adalah menerima pertukaran ini, karena protokol alternatif tidak ada atau tidak memiliki likuiditas. OpenFi bukanlah kegagalan moral pembangun individual. Ini adalah keseimbangan Nash dari ruang ini.
Pernyataan yang jujur adalah: DeFi hampir secara universal memilih untuk menukar sebagian desentralisasi dengan kelayakan operasional. Pilihan ini dapat dipertahankan. Ketidakjujuran terletak pada tidak menyebutkan pertukaran, dan terus memasarkan protokol sebagai 'desentralisasi', sementara model keamanan aktualnya bergantung pada beberapa penandatangan, satu validator, atau sebuah multisig yang dapat dikompromikan oleh rekayasa sosial.
Jalan ke depan lebih dekat ke 'pengungkapan', bukan 'revolusi': pelabelan wajib asumsi kepercayaan berdasarkan model L2Beat; timelock yang cukup panjang sehingga pengguna dapat keluar sebelum operasi istimewa diselesaikan; pasar asuransi yang menetapkan harga 'risiko operasional' daripada 'risiko kode murni' fiksi; dan pemisahan yang jernih antara 'bagian sistem mana yang benar-benar memerlukan jalur upgrade' dan 'bagian mana yang hanya dibuat dapat diubah karena kebiasaan arsitektur'. April 2026 tidak membuktikan OpenFi tidak layak.
Itu membuktikan bahwa: memasarkan sistem OpenFi sebagai DeFi, penggunanya sama sekali tidak siap untuk mode kegagalan yang sebenarnya dimilikinya. Untuk membuat sistem seperti ini aman, langkah pertama adalah secara jujur mengakui bahwa inilah yang kita bangun.
Koin Dua Sisi Sentralisasi
Pertukaran inti OpenFi menjadi terlihat dalam peristiwa pembekuan Arbitrum. Tiga hari setelah eksploitasi KelpDAO, Security Council Arbitrum memberikan suara untuk membekukan 30.766 ETH — sekitar $71 juta — yang telah ditransfer penyerang ke Arbitrum One. Pembekuan dikoordinasikan dengan penegak hukum, dan menurut sebagian besar standar, hasilnya baik: dana curian dicegah untuk dicuci, saluran hilir penyerang ditutup, dan sebagian kerugian pengguna mungkin dapat dikembalikan.
Tapi perhatikan apa yang membuat pembekuan ini mungkin: Arbitrum memiliki Security Council yang memiliki wewenang untuk 'meraih masuk ke transfer dana di rantai'. Ini bukan karakteristik infrastruktur terdesentralisasi. Ini adalah saklar penutup terpusat yang ada menurut desain — dapat dipertahankan dengan alasan 'respons darurat', digunakan dengan cara yang telah lama dikhawatirkan para kritikus — tidak selalu buruk, tetapi pasti memiliki konsekuensi besar.
Jenis mekanisme yang sama yang memungkinkan Arbitrum menjadi 'orang baik' setelah peristiwa Kelp, adalah bentuk yang sama persis yang memungkinkan Drift dikompromikan — segelintir kecil penandatangan tepercaya, memegang kekuasaan untuk mengeksekusi operasi tingkat protokol, berbeda hanya dalam 'seberapa kuat kendala kekuasaan itu'. Sekali, kekuasaan itu digunakan secara sah untuk membekukan dana curian; lain waktu, kekuasaan itu dibajak oleh rekayasa sosial untuk menguras deposit pengguna. Leverage, dapat memotong ke dua arah.
'Saklar penutup' telah gagal melalui setidaknya lima saluran berbeda — rekayasa sosial (Ronin, Drift), personel internal dikompromikan (Multichain), paksaan kedaulatan, paksaan hukum (Tornado Cash, USDC), dan perampasan tata kelola (Beanstalk, Mango Markets). Masing-masing adalah serangan berbeda, dengan pertahanan berbeda, dan frasa 'Council gagal' mengaburkan semuanya. Menunjuk saluran kegagalan spesifik adalah langkah pertama untuk mulai mempertahankannya.
Inilah 'koin dua sisi sentralisasi' dalam DeFi, dan salah satu hal terpenting tentang keadaan industri saat ini: setiap leverage operasional yang dapat menghasilkan 'hasil baik' dalam keadaan darurat, juga merupakan permukaan serangan — dan itu akan menghasilkan hasil buruk dalam peristiwa lain.
Masalah yang lebih dalam adalah: dalam kasus Arbitrum ini, kata 'hasil baik' menanggung terlalu banyak. Legitimasi dibangun secara sosial, dan leverage dengan bentuk yang sama telah ditarik dalam konteks di mana konsensus jauh kurang bersih. Fork DAO Ethereum 2016 masih merupakan studi kasus klasik: setengah komunitas bersikeras bahwa membalikkan eksploitasi $60 juta itu adalah penggunaan konsensus sosial yang paling jelas dan sah; setengah lainnya bersikeras bahwa itu adalah pengkhianatan fatal terhadap 'kode adalah hukum', dan memfork, meninggalkan rantai asli berlanjut sebagai Ethereum Classic.
Circle dan Tether sering membekukan alamat USDC dan USDT, terkadang merespons sanksi OFAC, terkadang hanya berdasarkan kecurigaan, tanpa saluran banding bagi pengguna yang terkena dampak — pembekuan dikemas sebagai kepatuhan, tetapi pada dasarnya adalah kewenangan diskresioner. Pembekuan Arbitrum berhasil. Fork DAO, dalam arti tertentu, juga berhasil.
Pembekuan USDC berhasil setiap hari. Pertanyaan yang jujur bukanlah 'apakah saklar penutup dapat menghasilkan hasil baik', tetapi 'siapa yang memutuskan apa yang dianggap sebagai hasil baik' — dan apa yang sebenarnya telah diberitahukan kepada pengguna protokol tentang proses pengambilan keputusan ini.
Tidak ada versi pertukaran yang dapat 'hanya mengambil satu'. Anda memiliki saklar penutup, maka Anda memiliki sesuatu yang dapat ditangkap, dimanipulasi, atau direkayasa secara sosial; atau Anda tidak memilikinya, maka Anda harus menerima bahwa beberapa peristiwa akan permanen dan tidak dapat dibatalkan.
Leverage ini sendiri juga tidak dapat dipertukarkan. Security Council Arbitrum dapat dengan cepat mentransfer dana dengan ambang batas rendah melalui proses darurat — kombinasi 'kecepatan + lingkup' membuat pembekuan menjadi mungkin, tetapi kombinasi yang sama juga membuat mode kegagalan ketika Council sendiri dikompromikan menjadi bencana.
Leverage THORChain lebih sempit: dapat dijeda dan direkapitalisasi melalui penerbitan RUNE, tetapi tidak memiliki wewenang untuk menyita atau mengalihkan aset pengguna. Admin darurat Aave dapat membekukan pasar, menyesuaikan parameter risiko, tetapi tidak dapat mentransfer saldo pengguna. Penutupan darurat MakerDAO adalah pintu keluar satu arah, bukan alat perampasan. Bentuk berbeda, pertukaran berbeda, tetapi semua disebut 'saklar penutup' dalam istilah singkatnya. Sebuah protokol yang bersedia jujur tentang model kepercayaannya sendiri, berutang kepada pengguna bukan kategori, tetapi bentuk spesifik.
Industri juga cenderung menghindari pembedaan lain: perbedaan antara 'leverage yang hanya digunakan dalam keadaan ekstrem' dan 'leverage yang beroperasi pada ritme rutin'.
Bitcoin dan Ethereum pada prinsipnya memiliki saklar penutup — tingkat koordinasi yang cukup antara node, penambang, validator, dan pertukaran besok dapat memfork rantai mana pun. Kedua rantai ini masih dianggap minimalis kepercayaan secara kredibel karena leverage ini hampir tidak pernah ditarik, dan setiap tarikan memiliki biaya berupa perpecahan komunitas permanen.
Fork DAO sudah satu dekade lalu, dan masih menjadi peristiwa paling kontroversial dalam sejarah Ethereum. Bitcoin tidak pernah mengalami fork serupa.
Leverage ada, tetapi secara kredibel dijanjikan 'tidak digunakan' untuk urusan rutin, dan justru sejarah pantang yang panjang ini yang memberikan kredibilitas kepada sistem dasar yang tidak dapat diberikan oleh karakteristik desain apa pun sendiri.
Sebaliknya, Security Council Arbitrum berjalan pada ritme rutin. Mereka secara rutin memberikan suara untuk upgrade. Sebelum pembekuan Kelp, mereka telah mengeksekusi tindakan darurat, dan akan mengeksekusi lebih banyak lagi setelahnya. Itu bukan kemampuan tidak aktif yang disimpan, tetapi badan tata kelola yang aktif. Kritik OpenFi berlaku dengan kekuatan yang jauh lebih besar untuk 'leverage aktif' daripada untuk 'leverage tidak aktif', karena pantang dari leverage tidak aktif itu sendiri adalah sinyal — kepercayaan yang diperoleh operator dengan ambang penggunaan yang sangat tinggi, adalah kepercayaan yang tidak dapat diberikan oleh leverage itu sendiri. Leverage aktif tidak memiliki sinyal seperti itu. Mereka hanya dapat dinilai berdasarkan kontrol mereka sendiri, dan kontrol ini telah berulang kali terbukti tidak cukup.
THORChain setelah mengalami kerentanan pada 2021 mengambil jalur 'tanpa leverage', dikritik karena tidak memiliki sarana intervensi. Arbitrum mengambil jalur 'saklar penutup' dan mendapat pujian. Kedua pilihan dapat dipertahankan. Tidak ada yang gratis. Industri harus berhenti berpura-pura dapat memiliki keduanya — dan harus secara jujur memberi tahu pengguna pilihan mana yang sebenarnya dibuat oleh setiap protokol spesifik.
Belokan terakhir: pertukaran ini seiring waktu hanya akan memburuk ke satu arah. Begitu sebuah protokol dapat membekukan, regulator dan pengadilan semakin cenderung memutuskan bahwa protokol 'harus' membekukan. Kemampuan pembekuan USDC awalnya adalah alat kepatuhan darurat, sekarang menjadi respons wajib de facto terhadap pemberitahuan OFAC dan daftar penegakan hukum negara bagian yang terus berkembang.
Keputusan 'meluncurkan dengan saklar penutup' juga merupakan keputusan 'mewarisi daftar penggunaan wajib yang akan terus tumbuh selama siklus hidup protokol', banyak di antaranya tidak selaras dengan arah yang akan didukung oleh komunitas protokol itu sendiri. Posisi 'tanpa leverage' THORChain, oleh karena itu, bukan hanya pilihan teknikal, tetapi juga sikap pengaturan — dengan mengecualikan 'kemungkinan kepatuhan' terlebih dahulu, mengecualikan 'kewajiban kepatuhan' terlebih dahulu.
Apakah sikap seperti ini dapat bertahan di bawah tekanan penegakan hukum yang berkelanjutan adalah pertanyaan terbuka, tetapi asimetrinya nyata: protokol dengan leverage dapat dipaksa menggunakannya; yang tidak, tidak bisa.
Bagi institusi yang menunggu di sela-sela, kejujuran seperti ini lebih penting daripada pemasaran. Sebuah saklar penutup operasional dengan pengungkapan jelas, dilengkapi dengan tata kelola, manajemen kunci, dan respons insiden yang terdokumentasi — itulah sesuatu yang dapat diasuransikan oleh tim manajemen dana atau perusahaan asuransi. Sebuah protokol yang mengklaim minimalis kepercayaan tetapi berjalan di atas multisig 2-of-5 dengan timelock nol, bukanlah itu. Yang pertama adalah pilihan teknikal yang sah. Yang kedua adalah risiko yang tidak dapat ditetapkan harganya oleh siapa pun.
Apa yang Akan Terjadi Selanjutnya
Kebiasaan siklus industri adalah melupakan. Setiap siklus empat tahun menciptakan kembali institusi yang seharusnya digantikan oleh DeFi, dipukul karenanya, sebentar mengingat mengapa prinsip ada, lalu melupakannya lagi. Segala sesuatu yang terjadi pada April tidak pernah terjadi sebelumnya. Itu adalah keadaan akhir yang dapat diprediksi dari sebuah industri yang menukar prinsip dengan kenyamanan, tetapi tidak menyebutkan pertukarannya.
Tiga keputusan sekarang ada di depan industri, tidak ada yang dapat ditunda lagi.
Sentrlisasi. Setiap protokol harus secara terbuka memilih leverage operasional mana yang dipegangnya, dan menjelaskan pilihan ini kepada pengguna. Versi DeFi yang jujur bukanlah DeFi yang memasarkan diri sebagai 'desentralisasi' sementara berjalan di atas multisig 2-of-5 dengan timelock nol, tetapi DeFi yang secara terbuka mengungkapkan komposisi multisig, ambang batas, timelock, dan kondisi di mana setiap leverage akan digunakan. Menyebutkan pertukaran, itulah cara membuat pertukaran dapat bertahan.
Keamanan. Audit bukanlah garis batas. Protokol yang akan bertahan dalam siklus berikutnya akan memperlakukan keamanan operasional — kunci, penandatangan, jembatan lintas rantai, konfigurasi, respons insiden — sebagai disiplin tingkat satu, sama pentingnya dengan tinjauan Solidity. Kebanyakan tim masih memperlakukannya sebagai pekerjaan logistik. Sikap itu tidak akan berfungsi mulai saat penyandang dana alokasi mulai menanyakan pertanyaan yang sekarang akan mereka tanyakan.
Alokasi modal. Modal yang akan menentukan siklus berikutnya, berada di pensiun, alokator sovereign, treasury perusahaan, dan neraca asuransi — mereka sedang menunggu. Mereka tidak membutuhkan minimalisasi kepercayaan murni. Mereka membutuhkan risiko operasional yang dapat diasuransikan. Protokol yang terlihat lebih seperti infrastruktur kritis daripada eksperimen, akan menyerap arus modal ini. Protokol lain akan terus memegang modal ritel yang selalu mereka miliki, menyaksikan gelombang institusi melewati mereka.
April 2026 bukanlah krisis keamanan. Itu adalah momen ketika model mental industri benar-benar runtuh, dan juga momen ketika protokol yang akan bertahan mulai dibedakan dari protokol yang tidak akan bertahan.
