DeFi Kini Terpaksa Menerapkan Kontrol Keamanan setelah Kerugian $16,5 Miliar akibat Eksploitasi

Eksploitasi Infrastruktur Menyebabkan Kerugian $200 Juta di Aave

Krisis rsETH telah meninggalkan jejak kerugian $200 juta di buku besar Aave, meskipun tidak ada kontrak pintar yang mengalami kegagalan. Pada 18 April, serangan yang diduga terkait dengan kelompok Lazarus menargetkan infrastruktur RPC, memaksa sistem untuk beralih ke node berbahaya melalui serangan DDoS, serta menyuntikkan data palsu ke konfigurasi 1-of-1 DVN pada jembatan rsETH milik KelpDAO.

Pesan palsu tersebut berhasil melepaskan sekitar 116.500 rsETH. Laporan insiden Aave mengonfirmasi bahwa Ethereum menerima nonce 308, sementara endpoint Unichain hanya mencapai nonce 307. Pelaku kemudian menggunakan rsETH palsu tersebut untuk meminjam di Aave, menciptakan kerugian dan menjadi cerminan kondisi keamanan DeFi saat ini.

April Menjadi Bulan Paling Merugikan bagi DeFi dalam Setahun

Data menunjukkan bahwa eksploitasi di DeFi pada April mencapai $635 juta dari 28 insiden, rekor kerugian bulanan tertinggi dalam lebih dari setahun. DeFiLlama mencatat total kerugian historis akibat peretasan mencapai $16,5 miliar, dengan $7,7 miliar di antaranya menargetkan protokol DeFi.

Eksploitasi besar-besaran di Drift dan jembatan KelpDAO menyebabkan DeFi kehilangan hampir $11 miliar dalam total nilai yang terkunci (TVL) pada bulan lalu. Sementara itu, sektor keuangan tradisional seperti stablecoin, treasuri yang ditokenisasi, dan lapisan penyelesaian terregulasi justru semakin mendapat perhatian institusional.

Mengapa DeFi Rentan terhadap Eksploitasi?

Mitchell Amador, CEO Immunefi, menjelaskan bahwa DeFi selama ini lebih memprioritaskan pertumbuhan, integrasi, likuiditas, dan kecepatan dibandingkan dengan kematangan keamanan. Protokol yang menambahkan aset, jembatan, oracle, atau dependensi eksternal baru mendapatkan manfaat instan, sementara risiko yang menyertainya tidak terlihat hingga terjadi eksploitasi.

"Tidak adanya insiden tidak terlihat harganya sampai kerugian itu benar-benar terjadi," kata Amador. Asimetri ini membuat siklus audit dan praktik isolasi menjadi prioritas sekunder selama bertahun-tahun, hingga April menjadi bulan yang memusatkan dampak buruk akibat kelalaian tersebut.

Amador menekankan bahwa praktik yang sering diabaikan meliputi kebersihan multisig, penguatan rantai pasokan, pemantauan real-time, dan prosedur respons darurat. Banyak tim menganggap multisig sebagai solusi keamanan itu sendiri, padahal efektivitasnya bergantung pada jumlah penandatangan, independensi mereka, serta proses review transaksi.

"Multisig dengan ambang batas rendah, keamanan penandatangan yang lemah, atau jembatan/oracle yang tidak dipantau dengan baik dapat menjadi risiko sistemik," jelasnya. Hal ini disebabkan oleh sifat komposabel DeFi, di mana risiko menyebar secepat likuiditas.

Perubahan Paradigma: Dari Kecepatan ke Keamanan

Sementara DeFi berkembang dengan model yang mengutamakan inovasi cepat, sektor keuangan tradisional justru membangun fondasi yang lebih kokoh. Ben Nadareski, CEO Solstice Finance, menilai,

"Kesenjangan produktivitas per orang menunjukkan apa yang terjadi ketika Anda membuang segala sesuatu yang bukan fungsi inti keuangan." Tim yang akan memenangkan persaingan ini adalah mereka yang dibangun dengan landasan kepatuhan dan keamanan sejak awal, serta mampu bergerak lebih cepat daripada bank dalam mengambil keputusan.

DeFi telah membangun infrastruktur yang komposabel selama lebih dari lima tahun sebelum Wall Street mengakui potensinya sebagai lapisan dasar sistem keuangan berikutnya. Namun, harga dari posisi pasar awal ini adalah keamanan yang terabaikan.

Langkah ke Depan: Menuju DeFi yang Lebih Aman

Para ahli menekankan pentingnya adopsi praktik keamanan yang lebih ketat, termasuk:

• Audit menyeluruh sebelum integrasi komponen eksternal.
• Pemantauan real-time terhadap aktivitas mencurigakan.
• Prosedur respons darurat yang teruji dan siap digunakan.
• Pendidikan dan kesadaran terhadap risiko rantai pasokan (supply chain).
• Kolaborasi dengan pihak berwenang untuk meningkatkan pertahanan terhadap serangan siber.

Dengan semakin matangnya ekosistem DeFi, industri ini kini dihadapkan pada pilihan: terus mengutamakan inovasi tanpa kontrol yang memadai, atau beralih ke model yang lebih aman dan teratur untuk memastikan keberlanjutan jangka panjang.