KelpDAO, sebuah protokol keuangan terdesentralisasi, telah mengalami eksploitasi senilai $293 juta — salah satu yang terbesar dalam sejarah DeFi. Serangan ini menandai pergeseran yang mengkhawatirkan: ancaman keamanan terbesar di industri ini bukan lagi sekadar kode yang bermasalah, melainkan jalinan sistem yang saling terhubung yang mendukung platform-platform ini.
Skala dampaknya
Dana yang dicuri mencapai hampir $300 juta, jumlah yang menempatkan pelanggaran ini di antara peretasan DeFi teratas berdasarkan nilai dolar. Para peretas menguras beberapa kumpulan dana dalam ekosistem KelpDAO, meskipun rincian pasti aset yang diambil belum diungkapkan. Protokol telah menghentikan operasi sementara melakukan investigasi.
Dari bug kode ke risiko sistemik
Selama bertahun-tahun, eksploitasi DeFi biasanya berasal dari kerentanan kontrak pintar individu — baris kode yang salah di sini, pemeriksaan izin yang hilang di sana. Namun peretasan KelpDAO menunjukkan jenis kerentanan yang berbeda: kompleksitas yang muncul dari bagaimana protokol saling berinteraksi, dengan oracle, dan dengan sumber likuiditas eksternal. Serangan ini mengeksploitasi ketergantungan tersebut, bukan satu kesalahan kode, menurut detail terbatas yang tersedia.
Pergeseran itu sudah mulai terjadi. Seiring sistem DeFi semakin terintegrasi, kelemahan pada satu komponen dapat menjalar ke banyak komponen. Pelanggaran KelpDAO adalah contoh nyata dari apa yang terjadi ketika kompleksitas tersebut tidak sepenuhnya dipetakan atau diamankan.
Apa yang salah
Laporan pasca-insiden publik masih menunggu. Indikasi awal menunjukkan bahwa para peretas memanipulasi umpan harga atau mengeksploitasi mekanisme pinjaman lintas protokol — teknik yang bergantung pada pemahaman bagaimana berbagai bagian sistem berperilaku di bawah tekanan. Tim KelpDAO belum mengonfirmasi vektor serangan, dan auditor keamanan yang meninjau kode sebelum peluncuran mungkin tidak menangkap serangan semacam itu karena itu bukan bug kode sederhana.
Dampaknya
Pengguna KelpDAO terpaksa menunggu. Protokol telah membekukan penarikan dan bekerja sama dengan penegak hukum serta firma keamanan. Belum jelas apakah dana dapat dipulihkan. Peretasan serupa di masa lalu terkadang menghasilkan pengembalian sebagian setelah negosiasi, tetapi belum ada kabar mengenai hal itu di sini.
Komunitas DeFi yang lebih luas mengamati dengan saksama. Jika kompleksitas sistemik menjadi norma baru untuk eksploitasi, maka audit kode tradisional — yang berfokus pada kontrak individu — tidak akan cukup. Industri ini mungkin perlu mengadopsi alat pengujian tekanan dan simulasi yang memodelkan interaksi di berbagai protokol.
KelpDAO belum mengatakan kapan akan merilis laporan insiden lengkap. Dokumen itu akan sangat penting untuk memahami secara tepat bagaimana serangan terjadi — dan untuk mencegah serangan berikutnya.
