KelpDAO, sebuah protokol kewangan terdesentralisasi, telah mengalami eksploitasi bernilai $293 juta — salah satu yang terbesar dalam sejarah DeFi. Serangan ini menandakan peralihan yang membimbangkan: ancaman keselamatan terbesar industri ini bukan lagi sekadar kod yang bermasalah, tetapi rangkaian rumit sistem yang saling berkaitan yang menggerakkan platform ini.
Skala kerugian
Dana yang dicuri berjumlah hampir $300 juta, jumlah yang meletakkan pelanggaran ini antara serangan DeFi terbesar dari segi nilai dolar. Penyerang menguras beberapa kolam dalam ekosistem KelpDAO, walaupun pecahan tepat aset yang diambil belum didedahkan. Protokol telah menghentikan operasi sementara ia menyiasat.
Daripada pepijat kod kepada risiko sistemik
Selama bertahun-tahun, eksploitasi DeFi biasanya berpunca daripada kelemahan kontrak pintar individu — satu baris kod yang salah di sini, satu kebenaran yang hilang di sana. Tetapi serangan KelpDAO menunjukkan jenis kelemahan yang berbeza: kerumitan yang timbul daripada cara protokol berinteraksi antara satu sama lain, dengan orakel, dan dengan sumber kecairan luaran. Serangan ini mengeksploitasi kebergantungan ini berbanding satu kesilapan pengekodan, menurut butiran terhad yang tersedia.
Peralihan itu telah lama berlaku. Apabila sistem DeFi semakin terintegrasi, kecacatan dalam satu komponen boleh merebak ke banyak komponen lain. Pelanggaran KelpDAO adalah contoh jelas tentang apa yang berlaku apabila kerumitan itu tidak dipetakan atau diamankan sepenuhnya.
Apa yang berlaku
Post-mortem awam masih belum dikeluarkan. Petunjuk awal menunjukkan penyerang memanipulasi suapan harga atau mengeksploitasi mekanisme pinjaman merentas protokol — teknik yang bergantung pada pemahaman bagaimana bahagian berbeza sistem berkelakuan dalam tekanan. Pasukan KelpDAO belum mengesahkan vektor serangan, dan juruaudit keselamatan yang menyemak kod sebelum pelancaran mungkin tidak mengesan serangan sedemikian kerana ia bukan pepijat kod mudah.
Kesan
Pengguna KelpDAO terpaksa menunggu. Protokol telah membekukan pengeluaran dan sedang bekerjasama dengan pihak berkuasa dan firma keselamatan. Tidak jelas lagi sama ada sebarang dana dapat dipulihkan. Serangan serupa pada masa lalu kadangkala menghasilkan pemulangan separa selepas rundingan, tetapi tiada khabar mengenai perkara itu di sini.
Komuniti DeFi yang lebih luas memerhati dengan teliti. Jika kerumitan sistemik menjadi normal baharu untuk eksploitasi, maka audit kod tradisional — yang memberi tumpuan kepada kontrak individu — tidak akan mencukupi. Industri ini mungkin perlu menggunakan ujian tekanan dan alat simulasi yang memodelkan interaksi merentas pelbagai protokol.
KelpDAO belum mengumumkan bila ia akan mengeluarkan laporan insiden penuh. Dokumen itu akan menjadi penting untuk memahami dengan tepat bagaimana serangan itu berlaku — dan untuk mencegah serangan seterusnya.
