Peringatan dari Ahli Audit Terkemuka: Semua DeFi Tidak Aman, Segera Tarik Dana!

Original | Odaily Planet Daily(@OdailyChina)

Penulis|Azuma(@azuma_eth)

"Menurut saya, semua DeFi sudah tidak aman."

Pernyataan tegas yang ditinggalkan oleh Manuel Aráoz, pendiri OpenZeppelin, di X kemarin, bagaikan bom air dalam yang kembali menghempas pasar DeFi yang sudah seperti air mati.

Manuel bahkan mengatakan bahwa dia telah mulai menyarankan kerabat dan teman-temannya untuk menarik dana dari berbagai protokol DeFi besar, termasuk protokol blue-chip yang dulu dianggap berisiko rendah seperti Aave, MakerDAO, dan Compound.

Ini bukan omongan kosong dari orang awam. Justru sebaliknya, Manuel sendiri adalah salah satu pembangun inti sistem keamanan DeFi, dan OpenZeppelin adalah salah satu perusahaan audit keamanan paling mainstream di industri ini. Pustaka kontrak, standar keamanan, dan kerangka audit mereka hampir merembes ke seluruh dunia DeFi.

Penyebab perubahan sikap total Manuel terletak pada AI. Manuel pesimis berpendapat bahwa kemampuan AI Coding Agent dalam mengidentifikasi dan mengeksploitasi kerentanan kontrak pintar sedang meningkat secara eksponensial.

Ini berarti, masalah yang dulu membutuhkan tim white hat top selama berminggu-minggu untuk ditemukan, sekarang mungkin dapat dipindai oleh AI dalam hitungan menit; dulu peretas membutuhkan studi jangka panjang tentang logika protokol, sekarang dapat dianalisis secara otomatis oleh AI untuk menemukan jalur serangan; dulu "transparansi publik" DeFi adalah keunggulan, sekarang justru menjadi corpus pelatihan terbaik bagi penyerang.

Manuel juga menyebutkan masalah yang lebih fatal, keamanan kontrak pintar pada dasarnya adalah permainan yang sangat asimetris — pihak bertahan harus memperbaiki semua kerentanan, sementara pihak penyerang hanya perlu menemukan satu saja untuk mencuri dana. Setelah AI mulai memperkuat efisiensi serangan secara eksponensial, asimetri ini dengan cepat menjadi tidak seimbang.

Realitas Dingin: DeFi Telah Menjadi Mesin Penarik Dana Peretas

Melihat kembali insiden keamanan DeFi beberapa bulan terakhir, Anda akan menemukan bahwa kekhawatiran Manuel bukanlah berlebihan.

April hampir merupakan bulan terburuk dalam sejarah DeFi.

• Pada tanggal 1 April, hari April Mop, Drift Protocol langsung kehilangan $280 juta karena peretasan izin pengelola dan eksekusi multi-tanda tangan (lihat "Lelucon April Mop? Drift Protocol Dicuri Lebih dari $280 Juta, Menjadi Kasus Perampokan DeFi Terbesar Kedua di Ekosistem Solana").
• Kemudian pada 19 April, Kelp DAO kehilangan $292 juta karena protokol jembatan diretas (lihat "DeFi Kembali Dicuri $292 Juta, Sekarang Bahkan Aave Tidak Aman?"), peretas kemudian melarikan dana melalui protokol pinjaman seperti Aave, menyebabkan seluruh DeFi terperangkap dalam bayang-bayang kerugian dan dampak berantainya.

Memasuki bulan Mei, insiden tidak hanya tidak berkurang, malah semakin menyebar.

• 15 Mei, THORChain diserang, operator node baru yang bergabung memanfaatkan kerentanan dalam skema tanda tangan ambang batas (TSS) GG20 untuk merekonstruksi kunci pribadi vault dan langsung mengeksekusi transaksi keluar, menyebabkan kerugian lebih dari $10 juta.
• 18 Mei, protokol jembatan Verus diserang, penyerang memalsukan payload impor lintas rantai, melewati validasi untuk menarik aset dari cadangan Ethereum, mencuri sekitar $11,58 juta.
• 19 Mei, Echo Protocol di Monad diserang karena kebocoran kunci pribadi, penyerang mencetak 1000 eBTC (senilai $76,7 juta), dan menarik dana melalui Curvance menggunakan jalur serangan yang telah diuji sebelumnya.
• 24 Mei, penerbit stablecoin patuh regulasi MiCA, StablR, diserang, peretas mendapat untung lebih dari $2,8 juta dengan mencetak EURR dan USDR tambahan, menyebabkan EURR dan USDR kehilangan patokannya.
• 25 Mei, modul SquidRouter diserang, 86 dompet Gnosis Safe dicuri sekitar $3 juta aset.
• 27 Mei, kunci pribadi penyebar (deployer) StakeDAO bocor di Arbitrum, penyerang mencetak sekitar 5,45 triliun vsdCRV, dan sebagian ditukar menjadi 43,7 ETH untuk melarikan diri.

Insiden keamanan yang terjadi dengan frekuensi tinggi telah membunyikan alarm, dari kode on-chain hingga manajemen off-chain, DeFi tampaknya sedang kehilangan pertahanan di semua lini.

AI Telah Menjadi Senjata Nuklir Peretas

Mengapa pertahanan dan serangan DeFi tiba-tiba mengalami percepatan keruntuhan musim panas ini? Selain evolusi teknik peretasan tradisional, kemampuan model AI besar yang melesat pesat, sedang menjadi bobot penentu yang merusak keseimbangan.

Dulu, mencari kerentanan kontrak pintar yang kompleks (terutama yang melibatkan lintas rantai, sarang berlapis, atau logika reentrancy yang sangat tersembunyi) membutuhkan penyisiran kode oleh peretas top selama berminggu-minggu bahkan berbulan-bulan. Namun, dengan matangnya agen AI yang memiliki konteks sangat panjang, penalaran logika kuat, dan kemampuan memanggil alat secara mandiri (Agents), semuanya mengalami perubahan kualitatif.

• Pemindaian Detik dan Eksploitasi "Zero-Day Vulnerability" di Seluruh Jaringan: Penyerang hanya perlu memberi makan repositori kode sumber terbuka ke model penalaran AI generasi baru, AI dapat dalam hitungan detik, seperti ahli keamanan senior, menyimulasikan ratusan skenario interaksi ekstrem, dan secara akurat menemukan kondisi batas yang terlewat oleh auditor manusia saat lelah.
• Generasi Skrip Serangan Otomatis: AI tidak hanya dapat menemukan kerentanan, tetapi juga secara otomatis menulis, menguji, dan menyebarkan "kontrak pintar peretas" untuk mengekstraksi dana.
• Pengaturan DevOps Off-Chain dan Social Engineering yang Sempurna: AI dapat menyamar sebagai pengembang sempurna untuk melakukan phishing, atau memantau catatan commit GitHub tim DeFi sepanjang waktu. Begitu tim mengunggah kode perbaikan yang mengandung informasi sensitif atau belum divalidasi, AI akan melancarkan serangan dalam hitungan detik — jauh lebih cepat dari waktu respons personel keamanan manusia.

Dalam perang pertahanan dan serangan keamanan yang didukung AI ini, peretas dengan AI memiliki peluru yang hampir tak terbatas dan kecepatan serangan detikan, sementara DeFi dibatasi oleh proses pengambilan keputusan yang lambat, konfirmasi multi-tanda tangan, dan audit keamanan yang tertinggal, sehingga sulit memberikan respons pertahanan yang setara.

Bulan lalu, perusahaan pengembangan AI di balik Claude, Anthropic, secara resmi mengumumkan model generasi baru Mythos (lihat "Anthropic Menciptakan Model AI Terkuat Sepanjang Masa, Tapi Takut Merilis..."). Ini adalah model pertama dalam sejarah manusia yang melampaui parameter total sepuluh triliun (sebagai perbandingan, model mainstream saat ini memiliki parameter dalam kisaran ratusan miliar hingga satu triliun), dengan biaya pelatihan mencapai $10 miliar yang mengejutkan.

Namun, karena kemampuan khusus Mythos di bidang keamanan jaringan (Anthropic pernah mengungkapkan bahwa perusahaan tersebut menggunakan Mythos hanya dalam beberapa minggu untuk mengidentifikasi ribuan zero-day vulnerability), sehingga Anthropic bahkan tidak berani merilis model tersebut secara langsung kepada publik, khawatir akan disalahgunakan oleh kelompok peretas, melainkan berencana untuk membiarkan perusahaan besar mencoba terlebih dahulu melalui program "Glass Wings" untuk memeriksa dan memperbaiki kerentanan potensial.

Jika situasi keamanan DeFi saat ini sudah begitu parah, sulit dibayangkan seperti apa ancaman baru yang akan dihadapi pertahanan keamanan industri setelah Mythos dirilis ke publik.

Masalah Terbesar: Rasio Risiko-Imbalan Sudah Lama Tidak Seimbang

Bagi peserta DeFi biasa, penyedia likuiditas (LP), dan paus kripto, masalah terpenting sekarang adalah duduk dan menghitung.

Selama ini, alasan pengguna memilih menyimpan dana di DeFi adalah untuk mengejar imbal hasil tahunan yang beberapa kali lipat lebih tinggi dari keuangan tradisional. Di masa bull market atau ketika farming likuiditas sedang gila-gilaan, imbal hasil 10%, 20%, atau bahkan lebih tinggi sudah cukup untuk menutupi ekspektasi psikologis orang terhadap "risiko teknologi potensial".

Tapi hari ini, logika dasar ini sudah lama diguncang bahkan dibalik, rasio risiko-imbalan DeFi sudah tidak seimbang. Di sisi imbal hasil, seiring pasar memasuki permainan sisa, bantalan keamanan menebal, imbal hasil riil sebagian besar protokol DeFi mainstream yang relatif andal telah turun ke kisaran satu digit; Di sisi risiko, modal pengguna terekspos dalam kotak hitam yang sewaktu-waktu dapat diretas oleh AI, dikosongkan seketika oleh flash loan, begitu protokol diserang peretas, token nol, pool dana terkuras sering terjadi dalam hitungan menit, dan tidak ada hukum, asuransi, atau bank sentral yang dapat menanggung.

Mengambil risiko kehilangan 100% modal, untuk memperoleh imbal hasil tahunan sekitar 5%, jelas bukan transaksi yang menguntungkan.

Perkataan Manuel mungkin agak mutlak, tetapi itu merobek kain penutup terakhir DeFi. Di hadapan realita bahwa peretas telah menggunakan AI sebagai senjata biasa dan insiden keamanan industri terus meledak, jika Anda tidak siap dengan ekspektasi psikologis kehilangan 100% modal demi imbal hasil tertentu, maka "segera tarik dana, amankan keuntungan", mungkin adalah pilihan paling rasional dan paling sesuai dengan prinsip pengendalian risiko di siklus pasar saat ini.