Peretasan Aave Mengungkap Celah Keamanan DeFi: Pelajaran Penting untuk Protokol yang Tidak Diaudit

Apa yang Sebenarnya Terjadi?

Aave, platform pinjaman terdesentralisasi terbesar di ekosistem, mengalami serangan yang ditujukan pada kontrak periferal ParaSwapRepayAdapter. Serangan itu dilakukan dengan presisi: sekitar $56,000 dicuri, tetapi protokol utamanya tetap utuh. Yang mengkhawatirkan bukanlah jumlahnya, tetapi pelajaran keamanan yang ditinggalkan.

Angka Bencana:

• Kerugian total: $56,000 (~$51,000 dalam Ethereum, Arbitrum, Polygon, Optimism + $5,000 dalam Avalanche)
• Jaringan yang terpengaruh: 5 blockchain terpengaruh secara bersamaan
• Faktor kritis: Kontrak tidak pernah diaudit secara formal

Bagaimana Eksploitasi Bekerja

Penyerang memanfaatkan tiga kerentanan dalam rantai:

1. Kesalahan panggilan arbitrer - Memanipulasi logika kontrak untuk mengeksekusi transaksi yang tidak sah
2. Slippage positif - Mengambil token lebih selama pertukaran di DEXs
3. Pencucian uang - Memindahkan aset yang dicuri ke alamat yang menyulitkan pelacakan

Ini adalah demonstrasi brutal mengapa kontrak perifer tanpa audit adalah titik lemah DeFi.

Jawaban Aave ( dan Batasannya )

Para delegasi tata kelola cepat dalam menenangkan:

• “Inti aman”
• “Itu hanya kontrak perifer”
• “Dana pengguna tidak dalam bahaya”

Secara teknis benar. Secara strategis tidak mencukupi.

Ini bukan ketakutan pertama. Pada bulan November 2023, beberapa pool dihentikan tanpa transparansi penuh, menambah kecurigaan di antara pengguna tentang apa lagi yang mungkin disembunyikan.

Perang Dingin antara Aave dan Euler

Peretasan itu menghidupkan kembali ketegangan yang terpendam.

Pendiri Euler menuduh Aave meminimalkan masalah keamanan mereka sendiri sambil merayakan keruntuhan Euler ( yang kehilangan $200 juta beberapa waktu lalu ). Hipokrisi terungkap: kedua platform telah diserang, tetapi mengelola narasi dengan cara yang sangat berbeda.

Pertanyaan tidak nyaman: Mengapa Aave dapat meminimalkan peretasan sebesar $56,000 tetapi protokol lain dengan kerugian serupa menerima pukulan media yang lebih keras?

Apa yang Harus Dipelajari DeFi (Tapi Kemungkinan Tidak Akan Melakukannya)

Untuk Protokol:

1. Audit SEMUA - Inti dan periferal. Tanpa pengecualian.
2. Komunikasikan transparansi - Tidak ada “spin doctoring”, transparansi murni.
3. Berkolaborasi dalam keamanan - Menetapkan standar bersama, bukan perang wilayah.

Untuk Pengguna:

• Kontrak periferal dapat terikat sama seperti inti
• Sebuah platform “besar” tidak menjamin keamanan
• Audit adalah dasar, bukan kemewahan

Dan Sekarang Apa?

Protokol seperti Euler dan Linea memiliki kesempatan untuk memimpin misalnya, bukan hanya kata-kata. Audit proaktif, komunikasi yang jelas, tata kelola yang mengutamakan keamanan dibandingkan kecepatan.

Pasar DeFi akan terus tumbuh. Tetapi jika kita tidak belajar dari Aave, segera akan ada cerita yang jauh lebih buruk untuk diceritakan.