Setelah serangkaian insiden serangan DeFi terjadi lebih dari awal pada bulan April, perbincangan keamanan di industri keuangan terdesentralisasi kini mulai menunjukkan pergeseran yang jelas. Dulu, protokol DeFi paling sering diaudit apakah kontrak pintar sudah melalui audit, dan apakah ada celah dalam kode; namun pendiri Flying Tulip, Andre Cronje, dalam wawancara baru-baru ini dengan Cointelegraph menyatakan bahwa risiko banyak protokol DeFi saat ini tidak lagi hanya berasal dari kode di rantai, melainkan dari hak upgrade, tata kelola multisig, infrastruktur off-chain, serta proses operasional tim.
DeFi sudah bukan lagi kode yang tidak bisa diubah
Cronje mengatakan terus terang bahwa jika menggunakan definisi ketat DeFi awal—“terdesentralisasi, tidak bisa diubah, dan tidak perlu percaya”—maka banyak protokol saat ini sebenarnya sudah tidak bisa disebut DeFi murni lagi. Ia bahkan memasukkan Flying Tulip ke dalam penilaian tersebut, dengan menyebut bahwa industri saat ini lebih mirip layanan keuangan komersial yang dijalankan oleh tim, bukan infrastruktur keuangan publik yang sepenuhnya tidak bisa diubah.
Ia menyatakan: “Saya pikir yang kita miliki hari ini, termasuk Flying Tulip, sudah bukan lagi DeFi. Itu bukan keuangan terdesentralisasi, dan bukan juga kode yang tidak dapat diutak-atik, melainkan bisnis yang dikelola oleh tim.”
Pernyataan ini menyoroti realitas paling canggung yang dihadapi industri DeFi saat ini: banyak protokol masih menggunakan narasi, valuasi, dan bahasa merek DeFi, tetapi dalam praktik operasionalnya, mereka sudah sejak lama bergantung pada kontrol manusia yang besar dan proses off-chain.
Risiko terbesar DeFi tidak lagi hanya celah kontrak
Cronje berpendapat bahwa model keamanan DeFi awal relatif lebih sederhana: setelah protokol dideploy, kontrak pintar tidak dapat diubah, dan yang terutama ditanggung pengguna adalah risiko logika kode. Namun kini sistem DeFi umumnya jauh lebih kompleks; protokol mungkin memakai proxy upgrade untuk pembaruan kontrak, mengelola hak-hak kunci lewat multisig, bergantung pada pemasok infrastruktur eksternal, serta menangani respons krisis oleh tim inti saat terjadi masalah.
Ini berarti persoalan keamanan telah bergeser dari “apakah kodenya punya bug” menjadi “siapa yang berwenang meng-upgrade kontrak”, “siapa yang memegang multisig”, “apakah time lock cukup”, “apakah server off-chain atau antarmuka manajemen mungkin diserang”, dan “apakah tim bisa merespons dengan benar dalam situasi abnormal”.
Cronje menyoroti bahwa industri sebelumnya masih terlalu memusatkan perhatian pada audit kontrak pintar, tetapi serangan-serangan baru-baru ini lebih mirip masalah keamanan Web2 tradisional atau TradFi), misalnya akses ke infrastruktur disusupi, serangan rekayasa sosial, proses manajemen disalahgunakan, atau satu node otoritas tunggal yang berhasil diretas.
Dengan kata lain, DeFi bukan berarti tidak perlu audit, tetapi hanya mengandalkan audit saja sudah tidak cukup. Ketika sebuah protokol bisa diupgrade, bisa dikelola, dan bisa diintervensi oleh manusia, maka ia harus mengakui bahwa ia juga memiliki risiko operasional yang sama seperti lembaga keuangan tradisional.
Flying Tulip menambahkan mekanisme circuit breaker penarikan
Dalam konteks seperti ini, Flying Tulip baru-baru ini menambahkan mekanisme circuit breaker penarikan (withdrawal circuit breaker), sehingga protokol dapat menunda atau mengantre pemrosesan penarikan ketika mendeteksi arus dana yang tidak wajar. Cronje menekankan bahwa mekanisme ini bukan untuk menghentikan penarikan pengguna secara permanen, dan bukan pula memberi tim kebebasan untuk membekukan dana sesuka hati; melainkan untuk memberi protokol jendela respons sementara saat situasi abnormal.
Sebagai contoh Flying Tulip, mekanisme ini kira-kira bisa memberi waktu sekitar 6 jam bagi tim. Cronje menilai bahwa jika ukuran tim lebih kecil dan anggota tidak cukup terdistribusi secara global, mereka mungkin membutuhkan 12 hingga 24 jam, bahkan lebih lama, untuk menyelesaikan konfirmasi internal, penandatanganan, dan respons saat serangan terjadi.
Logika desain seperti ini mirip dengan perdagangan yang dihentikan sementara atau gerbang manajemen risiko di pasar keuangan tradisional: ketika sistem mengalami likuiditas yang tidak wajar atau arus keluar aset, bukan langsung menyatakan semua transaksi tidak valid, melainkan menurunkan laju sistem terlebih dahulu, agar penyerang tidak bisa memindahkan seluruh dana dalam hitungan menit.
Namun, Cronje juga menegaskan bahwa circuit breaker hanyalah salah satu bagian dari arsitektur keamanan berlapis, dan tidak boleh dianggap sebagai obat mujarab. Perlindungan yang sebenarnya tetap harus mencakup audit, multisig yang terdistribusi, time lock, proses tata kelola, mekanisme pemantauan, serta kontrol hak akses.
Biaya circuit breaker: melindungi pengguna atau menciptakan pintu belakang sentralisasi baru?
Namun, mekanisme circuit breaker juga langsung memicu perdebatan arah di kalangan komunitas pengembang DeFi. Curve Finance dan pendiri Yield Basis, Michael Egorov, setuju bahwa serangan baru-baru ini memang mengekspos risiko sentralisasi off-chain, tetapi ia sangat waspada terhadap solusi “menambah kontrol darurat yang dipaksakan oleh manusia”.
Egorov menunjuk bahwa banyak kejadian DeFi besar baru-baru ini bukan karena kontrak pintar itu sendiri disusupi, melainkan karena kegagalan titik tunggal di luar rantai. Ia mengambil contoh kejadian terkait rsETH, menyebut bahwa kontrak pintar Aave, Kelp, dan LayerZero tidak diserang, sedangkan masalah sesungguhnya ada pada infrastruktur off-chain.
Karena itu, menurut Egorov, jika risiko terbesar memang berasal dari manusia dan otoritas off-chain, maka menambahkan circuit breaker yang dikendalikan oleh manusia mungkin hanya memusatkan lebih banyak kekuasaan pada segelintir penandatangan atau manajer.
Egorov khawatir bahwa jika kewenangan kontrol darurat mengizinkan penandatangan mengubah kontrak, menangguhkan penarikan, atau mengintervensi aliran dana, maka begitu penandatangan diserang, mekanisme yang semula untuk melindungi pengguna bisa berubah menjadi alat untuk menguras dana oleh peretas, atau menjadi pintu belakang untuk membekukan aset secara sentralisasi. Kesimpulannya, desain DeFi harus sebisa mungkin mengurangi kegagalan titik tunggal yang disebabkan manusia, bukan menyelesaikan masalah yang ditimbulkan oleh otoritas manusia dengan menambah otoritas manusia lainnya.
DeFi harus mengakui menjadi apa
Perbedaan pandangan Cronje dan Egorov, secara permukaan tampak sebagai debat soal circuit breaker, namun sebenarnya adalah debat identitas DeFi. Posisi Cronje lebih realistis: karena banyak protokol sudah bukan lagi kontrak yang tidak bisa diubah, melainkan produk keuangan dengan hak upgrade, proses manajemen, serta operasional berbasis tim, maka harus mengakui kenyataan itu dan menerapkan tingkat kontrol risiko yang sesuai.
Egorov lebih mendekati mazhab awal DeFi: jika keamanan DeFi berasal dari desentralisasi, maka solusinya tidak seharusnya memberikan lebih banyak kontrol kepada manusia, melainkan merancang sistem yang meminimalkan ketergantungan pada intervensi manual.
Keduanya sebenarnya mengakui satu hal yang sama: masalah terbesar DeFi saat ini bukan lagi sekadar apakah kodenya bagus atau tidak, melainkan siapa sebenarnya yang dipercayai oleh pengguna. Jika sebuah protokol bisa di-upgrade, bisa ditangguhkan, bisa mengantre penarikan, serta bisa mengubah logika inti melalui multisig, maka risiko yang ditanggung pengguna tidak lagi sekadar risiko kontrak pintar, melainkan risiko tata kelola tim, risiko penandatangan, risiko infrastruktur, dan risiko operasional.
Apakah artikel ini masih membuat DeFi terdesentralisasi? Andre Cronje: Mengakui saja, sebagian besar protokol adalah kode yang bisa diutak-atik Muncul pertama kali di Berita Rantai ABMedia.
