Peringatan dari Ahli Audit Top: Semua DeFi Tidak Aman, Segera Keluar!

Original | Odaily Planet Daily(@OdailyChina)

Penulis | Azuma(@azuma_eth)

"Saya pikir semua DeFi sudah tidak aman."

Pernyataan tegas yang ditinggalkan oleh Manuel Aráoz, pendiri OpenZeppelin, di X kemarin, seperti bom kedalaman, sekali lagi mengguncang pasar DeFi yang sudah seperti air mati.

Manuel bahkan mengatakan, dia sudah mulai menyarankan teman dan kerabat untuk menarik dana dari berbagai protokol DeFi besar, termasuk protokol blue-chip yang dulu dianggap berisiko rendah seperti Aave, MakerDAO, dan Compound.

Ini bukanlah gertakan dari orang awam. Justru sebaliknya, Manuel sendiri adalah salah satu pembangun inti dari sistem keamanan DeFi, dan OpenZeppelin adalah salah satu perusahaan audit keamanan paling utama di industri. Kontrak standar, standar keamanan, dan kerangka audit mereka hampir menembus seluruh dunia DeFi.

Alasan yang menyebabkan sikap Manuel berbalik sepenuhnya adalah AI. Manuel berpandangan pesimis bahwa kemampuan AI Coding Agent dalam mengidentifikasi dan mengeksploitasi kerentanan kontrak pintar sedang meningkat secara eksponensial.

Ini berarti, masalah yang dulu membutuhkan tim white hat top selama berminggu-minggu untuk ditemukan, sekarang mungkin dapat dipindai oleh AI dalam hitungan menit; Hacker yang dulu membutuhkan penelitian jangka panjang tentang logika protokol, sekarang dapat secara otomatis dianalisis jalur serangannya oleh AI; Transparansi publik DeFi yang dulu menjadi keunggulan, sekarang justru menjadi bahan pelatihan terbaik bagi penyerang.

Manuel juga menyebutkan masalah yang lebih fatal, yaitu keamanan kontrak pintar pada dasarnya adalah permainan yang sangat tidak simetris - pihak bertahan harus memperbaiki semua kerentanan, sementara pihak penyerang hanya perlu menemukan satu untuk mencuri dana. Setelah AI mulai memperkuat efisiensi serangan secara eksponensial, asimetri ini dengan cepat menjadi tidak seimbang.

Realitas Dingin: DeFi Sudah Menjadi ATM bagi Hacker

Melihat kembali insiden keamanan DeFi beberapa bulan terakhir, Anda akan menemukan bahwa kekhawatiran Manuel tidak berlebihan.

April hampir menjadi bulan terburuk dalam sejarah DeFi.

• Pada tanggal 1 April, Hari April Mop, Drift Protocol kehilangan $2.8 miliar karena peretasan hak akses pengelola dan kerentanan eksekusi multi-signature (lihat "Lelucon April Mop? Drift Protocol Digerogoti Lebih dari $2.8M, Menjadi Kasus Perampokan DeFi Terbesar Kedua di Ekosistem Solana").
• Kemudian pada 19 April, Kelp DAO kehilangan $2.92 miliar karena protokol jembatannya diretas (lihat "DeFi Lagi Digerogoti $2.92M, Sekarang Aave Juga Tidak Aman?"), Hacker kemudian melarikan dana melalui protokol pinjaman seperti Aave, menyebabkan seluruh DeFi terperangkap dalam bayang-bayang kerugian dan dampak ikutannya.

Dan setelah memasuki Mei, insiden tidak hanya tidak berkurang, malah semakin meluas.

• 15 Mei, THORChain mengalami serangan, operator node baru memanfaatkan kerentanan dalam skema tanda tangan ambang batas (TSS) GG20 untuk merekonstruksi kunci privat vault dan langsung mengeksekusi transaksi keluar, menyebabkan kerugian lebih dari $10 juta.
• 18 Mei, protokol jembatan Verus diserang, penyerang memalsukan payload impor lintas rantai, melewati validasi untuk menarik aset dari cadangan Ethereum, mencuri sekitar $11.58 juta.
• 19 Mei, Echo Protocol di Monad diserang karena kebocoran kunci privat, penyerang mencetak 1000 eBTC (senilai $76.7 juta), dan mengekstrak dana melalui Curvance menggunakan jalur serangan yang sudah diuji sebelumnya.
• 24 Mei, penerbit stablecoin yang patuh di bawah kerangka regulasi MiCA, StablR, diserang. Hacker mencetak EURR dan USDR secara berlebihan, menghasilkan keuntungan lebih dari $2.8 juta, dan menyebabkan EURR dan USDR terlepas dari patokannya.
• 25 Mei, modul SquidRouter diserang, 86 dompet Gnosis Safe dicuri, dengan total aset sekitar $3 juta.
• 27 Mei, kunci privat penyebar (deployer) StakeDAO dibocorkan di Arbitrum, penyerang mencetak sekitar 5.45 triliun vsdCRV, dan sebagian ditukar menjadi 43.7 ETH untuk melarikan dana.

Peristiwa keamanan yang terjadi dengan frekuensi tinggi telah membunyikan alarm. Dari kode on-chain hingga manajemen off-chain, DeFi tampaknya sedang kehilangan pertahanan di semua lini.

AI Telah Menjadi Senjata Nuklir bagi Hacker

Mengapa pertahanan dan serangan DeFi tiba-tiba mengalami percepatan dan keruntuhan musim panas ini? Selain perkembangan teknologi peretasan tradisional, kemampuan model AI besar yang melesat pesat sedang menjadi pemberat pamungkas yang mengganggu keseimbangan.

Di masa lalu, menemukan kerentanan kontrak pintar yang kompleks (terutama yang melibatkan logika lintas rantai, sarang berlapis, atau logika ulang masuk yang sangat tersembunyi) membutuhkan penyisiran kode oleh hacker top selama berminggu-minggu bahkan berbulan-bulan. Namun, dengan matangnya agen AI yang memiliki konteks sangat panjang, penalaran logika kuat, dan kemampuan memanggil alat secara mandiri (Agents), semuanya berubah secara kualitatif.

• Pemindaian Detik dan Eksploitasi "Zero-Day Vulnerability" Seluruh Jaringan: Penyerang hanya perlu memasukkan repositori kode sumber terbuka ke model AI penalaran generasi baru, dan AI akan dapat, dalam hitungan detik, seperti ahli keamanan senior, menyimulasikan ratusan skenario interaksi ekstrem, dan secara akurat menemukan kondisi batas yang terlewat oleh auditor manusia saat kelelahan.
• Pembuatan Skrip Serangan Otomatis: AI tidak hanya dapat menemukan kerentanan, tetapi juga secara otomatis menulis, menguji, dan menyebarkan "kontrak pintar peretas" untuk mengekstrak dana.
• Penyusunan Sempurna DevOps Off-Chain dan Social Engineering: AI dapat menyamar sebagai pengembang sempurna untuk memancing, atau memantau catatan commit GitHub tim DeFi sepanjang waktu. Begitu tim mengunggah kode perbaikan yang berisi informasi sensitif atau belum terverifikasi, AI akan melancarkan serangan dalam hitungan detik—jauh lebih cepat dari waktu respons petugas keamanan manusia.

Dalam perang pertahanan keamanan yang didukung AI ini, hacker dengan AI memiliki peluru yang hampir tak terbatas dan kecepatan serangan dalam hitungan detik, sementara DeFi terbatas oleh ritme pemungutan suara tata kelola yang lambat, konfirmasi multi-tanda tangan, dan audit keamanan yang tertinggal, sehingga sulit memberikan respons pertahanan yang sesuai.

Bulan lalu, perusahaan pengembangan AI di balik Claude, Anthropic, secara resmi mengumumkan model generasi baru Mythos (lihat "Anthropic Menciptakan Model AI Terkuat Sepanjang Masa, Tapi Takut Rilis..."). Ini adalah model pertama dalam sejarah manusia yang total parameternya mencapai skala triliunan (sebagai perbandingan, model utama di pasaran saat ini memiliki parameter dalam skala ratusan miliar hingga satu triliun), dengan biaya pelatihan mencapai $100 miliar yang mengejutkan.

Namun, karena kemampuan khusus Mythos di bidang keamanan siber (Anthropic pernah mengungkapkan bahwa dalam beberapa minggu singkat menggunakan Mythos, mereka mengidentifikasi ribuan kerentanan zero-day), sehingga Anthropic bahkan tidak berani merilis model tersebut secara langsung kepada publik, untuk mencegah penyalahgunaan oleh kelompok peretas. Mereka berencana memulai dengan program "Sayap Kaca" untuk menguji dan memeriksa oleh perusahaan-perusahaan besar terlebih dahulu, memperbaiki kerentanan potensial lebih awal.

Jika situasi keamanan DeFi pada tahap ini sudah begitu parah, sulit dibayangkan seperti apa ancaman baru yang akan dihadapi pertahanan keamanan industri setelah Mythos dirilis ke publik.

Masalah Terbesar: Rasio Risiko-Imbalan Sudah Tidak Seimbang

Bagi peserta DeFi biasa, penyedia likuiditas (LP), dan paus kripto, masalah terpenting saat ini adalah duduk dan menghitung sebuah akun.

Selama ini, alasan pengguna memilih menyimpan dana di DeFi adalah untuk mengejar imbal hasil tahunan yang beberapa kali lipat lebih tinggi dari keuangan tradisional. Di masa pasar naik atau ketika penambangan likuiditas gila-gilaan, imbal hasil 10%, 20%, atau bahkan lebih tinggi cukup untuk menutupi ekspektasi psikologis orang terhadap "risiko teknologi potensial".

Tapi hari ini, logika dasar ini sudah digoyahkan bahkan dibalik. Rasio risiko-imbalan DeFi sudah tidak seimbang. Di sisi imbal hasil, seiring pasar memasuki permainan sisa, bantalan keamanan menebal, imbal hasil riil dari sebagian besar protokol DeFi utama yang relatif andal telah turun ke kisaran satu digit. Di sisi risiko, modal pengguna terpapar pada kotak hitam yang setiap saat dapat diretas oleh AI dan dikosongkan seketika oleh flash loan. Begitu protokol terkena serangan hacker, token menjadi nol dan kolam dana dikuras sering terjadi dalam hitungan menit, tanpa ada jaminan hukum, asuransi, atau bank sentral yang dapat menanggungnya.

Mengambil risiko kehilangan 100% modal untuk memperoleh imbal hasil tahunan sekitar 5%, jelas bukan transaksi yang menguntungkan.

Kata-kata Manuel mungkin agak absolut, tetapi itu merobek tabir terakhir DeFi. Di hadapan realitas bahwa hacker telah menggunakan AI sebagai senjata rutin dan insiden keamanan industri terus meledak, jika Anda tidak siap dengan ekspektasi psikologis kehilangan 100% modal demi imbal hasil tertentu, maka "menarik dana secepatnya, menyimpan keuntungan dalam kantong", mungkin merupakan pilihan paling rasional dan paling sesuai dengan prinsip pengendalian risiko dalam siklus pasar saat ini.