Eksploit Kelp DAO memicu krisis kepercayaan di DeFi

Versi cerita ini muncul di newsletter The Decentralised pada 21 April. Daftar di sini.

Sentimen kripto sedang suram.

Dengan kerugian sebesar $293 juta, eksploitasi Kelp DAO-LayerZero akhir pekan ini menjadi yang ke-10 terbesar dalam basis data DefiLlama. Perampokan Bybit tahun lalu hampir lima kali lebih besar.

Namun demikian, hal ini telah memicu krisis kepercayaan yang mungkin melampaui kegelapan tahun 2022, ketika orang-orang benar-benar takut bahwa kripto mungkin tidak akan bertahan dari serangkaian kebangkrutan bernilai miliaran dolar yang menyeret Bitcoin ke $16.000.

Lalu, apa yang bisa lebih buruk dari kematian? Mengapa suasananya begitu buruk? Bagaimanapun, Bitcoin telah naik selama seminggu terakhir.

Di X, tempat ngobrol industri, para pengembang dan investor kripto memposting dengan nada terkejut seperti orang yang merasa telah menemukan sebuah kebohongan — bahwa kompromi yang melekat pada teknologi terdesentralisasi tidak sebanding dengan masalahnya, dan bagaimanapun juga, teknologi tersebut tidak sepenuhnya terdesentralisasi ketika diuji.

Investor kripto Jon Wu merangkumnya dengan cara ini (tanda baca ditambahkan untuk keterbacaan): "Bung, aku tahu DeFi belum sepenuhnya berakhir, tapi rasanya sudah berakhir. Dan bukan dalam cara pasar beruang yang biasa dengan apati dan grafik mati tanpa volume — tapi dalam cara, 'Aku tidak tahu, mungkin komposabilitas atomik dari instrumen keuangan arbitrer yang diamankan oleh satu-dari-satu adalah sebuah kesalahan'."

Seraphim Czecker dari Solana Foundation mengungkapkannya lebih singkat: "Rasanya seperti momen Lehman-nya DeFi," tulisnya, merujuk pada Lehman Brothers, bank investasi besar AS yang kolaps pada 2008, memicu krisis keuangan yang berujung pada Resesi Besar.

Kini, para pengembang DeFi perlu meningkatkan profil risiko teknologi tersebut, tulis investor Simon Dedic, yang menyebut keamanan sebagai "salah satu bidang yang paling kurang didanai dan paling tidak menarik untuk dikerjakan."

"Rasio risiko-imbalan DeFi sudah tidak cukup menarik lagi," tulisnya. "DeFi sebenarnya seharusnya menghilangkan risiko perantara dan membuat keuangan lebih aman dengan membiarkan Anda mengendalikan aset Anda sendiri. Tapi rasanya kita telah mencapai hal yang sebaliknya."

Peretasan ini berdampak pada Kelp DAO, tentu saja, tetapi juga menyebabkan akumulasi utang buruk di Aave. Begitu banyak pengguna yang meninggalkan Aave — deposito turun hampir 40% selama tujuh hari terakhir — sehingga Aave kehilangan gelar "protokol DeFi terbesar," menyerahkannya kepada Lido.

Peretas atau para peretas berhasil membawa lebih dari 116.000 rsETH dan hampir mengambil 40.000 lagi senilai $92 juta. Namun mereka diblokir oleh Kelp DAO, yang menghentikan sementara kontrak pintar yang relevan tepat waktu.

Peretas menukar kripto yang dicuri di bursa terdesentralisasi dan meminjam menggunakannya sebagai jaminan di protokol pinjaman, seperti Aave, menggunakan Ethereum dan Arbitrum.

Kelp DAO bukan satu-satunya organisasi yang mengambil tindakan. Aave membekukan cadangan rsETH. Dan, dalam langkah yang hampir belum pernah terjadi sebelumnya, dewan keamanan beranggotakan 12 orang milik Arbitrum membekukan sekitar 31.000 Ether senilai $72 juta yang berada di blockchain.

Griff Green, anggota dewan keamanan, mengatakan bahwa dirinya dan rekan-rekannya tidak membuat keputusan ini dengan enteng.

Pendiri Arbitrum Steven Goldfeder menyebutnya sebagai "salah satu keputusan paling kompleks yang pernah dibuat dalam sejarah tata kelola Arbitrum."

"Proses ini sangat terdistribusi dan dikoordinasikan oleh aktor-aktor independen," tulisnya. "Dalam dunia di mana dewan keamanan ada, milik Arbitrum adalah sebuah mahakarya."

Peneliti keamanan Taylor Monahan menyambut baik langkah tersebut.

Namun pengacara kripto Gabriel Shapiro mencatat bahwa pembekuan dana untuk membalikkan peretasan mempertanyakan seluruh konsep DeFi, yang dimaksudkan untuk memungkinkan keuangan peer-to-peer, menghilangkan perantara yang memiliki kekuatan untuk menyensor transaksi, baik maupun buruk.

Keputusan Arbitrum membuka kotak Pandora baru, menurut pendiri Curve Finance Michael Egorov.

"Banyak yang mungkin akan mengevaluasi ulang apakah menggunakan Arbitrum aman setelah ini," tulisnya. "Juga jika mereka dapat membekukan siapa saja — sulit untuk berargumen bahwa beberapa regulasi TradFi tidak berlaku untuk rantai itu sendiri. Ini bukan infrastruktur netral."

Ia menyarankan pertemuan industri untuk merumuskan praktik terbaik dalam mengamankan protokol DeFi.

Seorang karyawan Yuga Labs dengan nama samaran yang, tepat sekali pada saat ini, dikenal sebagai "Quit," mengatakan solusinya lebih sederhana daripada pembekuan dan pertemuan keamanan. Solusinya adalah berhenti menjadi degen, mengejar aset eksotis, berlapis, dan penghasil imbal hasil.

"Kepercayaan terhadap DeFi sedang berada di titik terendah sepanjang masa saat ini," tulis Quit. "Kita perlu kembali ke dasar. Tidak ada alasan seseorang yang ingin menyetor ETH untuk meminjam USDC harus rentan terhadap penularan dari jembatan untuk rsKxyzstETH yang di-restake secara cair."

Berita DeFi teratas minggu ini

Minggu ini dalam tata kelola DeFi

PEMUNGUTAN SUARA: Morpho memilih untuk mengotorisasi insentif di Tempo

PROPOSAL: Aave DAO memperdebatkan penghentian sementara token untuk mengatasi peretasan Kelp DAO

PROPOSAL: Lido DAO memperdebatkan proposal untuk meningkatkan transparansi dan konsistensi dalam penilaian operator node

Aleks Gilbert adalah koresponden DeFi DL News yang berbasis di New York. Anda dapat menghubunginya di aleks@dlnews.com.