Analisis komprehensif atas serangan flash loan bZx dan pengaruhnya pada DeFi. Pelajari kronologi eksploitasi, titik lemah keamanan pada protokol terdesentralisasi, serta wawasan krusial demi menjaga ekosistem kripto dari ancaman sejenis.
Analisis Serangan bZx dan Kerentanan DeFi
DeFi (Decentralized Finance) merevolusi distribusi alat keuangan secara daring, menjadikannya lebih mudah diakses, dapat diprogram, dan praktis untuk semua kalangan. Seperti internet yang memungkinkan siapa pun menciptakan, berbagi, dan memprogram informasi, DeFi menghadirkan keterbukaan serupa dalam dunia uang dan keuangan.
Produk DeFi secara inheren trustless—pengguna tidak perlu bergantung pada perantara. Produk ini bersifat global, transparan (kode dapat ditinjau siapa saja), dan immutable (perubahan hanya dapat dilakukan jika diprogram). Komposabilitas DeFi memungkinkan produk dapat digabungkan dan diintegrasikan, layaknya balok Lego yang membangun struktur lebih besar dari sekadar gabungan bagiannya.
Penetapan Konteks
Inilah ekosistem baru di mana siapa pun dapat memprogram aplikasi keuangan. Hasilnya adalah jaringan alat keuangan yang kuat dan cair—lahan subur bagi inovasi dan utilitas. DeFi, misalnya, memperkenalkan Flash Loan—pinjaman instan tanpa risiko, di mana siapa saja dapat meminjam jutaan dolar dalam satu transaksi. Jika pinjaman tidak dilunasi pada akhir transaksi, seluruh transaksi dibatalkan. Tidak ada modal pengguna yang berisiko, dan dana besar dapat dimanfaatkan untuk berbagai tujuan.
Apa yang Terjadi pada Serangan bZx?
BZx (juga dikenal sebagai Fulcrum) adalah platform DeFi untuk pinjaman, peminjaman, dan margin trading berbasis token. Siapa saja dapat menambah dana ke pool bZx dan meminjam terhadapnya, atau mengambil posisi long maupun short dengan leverage atas aset lain. Platform ini terintegrasi dengan protokol DeFi lain untuk menyediakan layanan lengkap, memanfaatkan keunggulan komposabilitas DeFi.
Serangan terjadi melalui satu transaksi kompleks yang meminjam jutaan dolar dengan flash loan, lalu mengalirkan dana tersebut ke beberapa protokol DeFi untuk memanipulasi dan mengeksploitasi pool jaminan bZx. Kronologinya sebagai berikut:
-
Penyerang meminjam ETH senilai $10 juta melalui flash loan dari protokol pinjaman terdesentralisasi (Komponen #1), tanpa memberikan jaminan.
-
ETH senilai $5 juta digunakan untuk membuka posisi short 5x pada order book ETH-wBTC di bZx (Komponen #2). BZx meneruskan order ke agregator likuiditas (Komponen #3), yang mendapatkan harga terbaik dan menyelesaikan perdagangan di bursa terdesentralisasi (Komponen #4). Hal ini memicu slippage besar, menaikkan harga wBTC hingga tiga kali lipat.
-
Sisa ETH senilai $5 juta dikirim ke protokol pinjaman lain (Komponen #5) dan digunakan sebagai jaminan untuk meminjam wBTC.
-
wBTC hasil pinjaman dijual pada harga tinggi di bursa terdesentralisasi.
-
Keuntungan dari langkah 4 dan hasil langkah 2 digunakan untuk melunasi flash loan secara penuh, sehingga transaksi selesai dengan sukses.
Strategi ini menghasilkan keuntungan langsung sebesar 71 ETH, ditambah pinjaman aktif di protokol lain senilai 1.200 ETH, dengan total laba bersih 1.271 ETH (setara $355.000 saat itu). Transaksi ini juga menyisakan pinjaman rugi besar di bZx, yang menjadi sumber “kerugian”.
Serangan ini bergantung pada kemampuan mengambil posisi short leverage 5x di order book dengan likuiditas tipis dan sangat rentan slippage. BZx seharusnya memiliki sistem perlindungan, namun penyerang mengeksploitasi bug untuk melewati pemeriksaan tersebut. Cacat ini membuka pool jaminan bZx pada kerugian besar, sedangkan komponen lain berfungsi normal dan tidak mengalami kerugian.
Konsekuensi dan Serangan Kedua
Segera setelah serangan, tim bZx menggunakan super-admin keys untuk menghentikan aktivitas perdagangan dan peminjaman, serta memperbaiki bug utama. Saat komunitas memperdebatkan eksploitasi dan operasional berlanjut, serangan kedua terjadi dengan teknik serupa.
Serangan kedua meniru pola pertama namun tidak perlu melewati aturan slippage. Kali ini, flash loan digunakan untuk menaikkan harga Synthetix USD di bursa terdesentralisasi menjadi $2 (dari $1). Penyerang kemudian mendepositkan sUSD ke bZx sebagai jaminan pada harga tinggi, dan meminjam ETH melebihi batas seharusnya. Penyerang melarikan diri dengan dana pinjaman, membuat pinjaman bZx rugi, dan mendapat 2.378 ETH (setelah melunasi flash loan), bernilai $630.000 saat itu.
Ini lebih mirip serangan oracle, di mana nilai referensi dimanipulasi. Dalam kasus ini, flash loan secara artifisial menaikkan harga spot ETH-sUSD di bursa terdesentralisasi (oracle), yang digunakan bZx untuk menentukan nilai jaminan pinjaman.
Bagaimana Cara Memandang Keamanan di DeFi?
DeFi menghadirkan produk keuangan baru yang kompleks dan terintegrasi. Serangkaian serangan ini menjadi pengingat bahwa keuangan terprogram pasti memiliki celah, apalagi ketika inovasi mendorong batas kemampuan sistem. Saat ini, kombinasi flash loan dan jaringan protokol DeFi yang komposabel membuka celah kerentanan baru.
Secara historis, penemuan jenis eksploitasi baru akan memicu gelombang serangan serupa. Seluruh ekosistem akan waspada dan mencari kelemahan sejenis. Kita perlu mengantisipasi lebih banyak serangan oracle dan flash loan. Inilah mekanisme yang membuat DeFi semakin tahan banting dari waktu ke waktu.
Misalnya, setelah peretasan DAO menguak celah reentrancy, komunitas segera mengadopsi perlindungan. Kini, serangan reentrancy hampir tidak ditemukan. Pada akhirnya, ini adalah proses evolusi: kerentanan ditemukan, ditambal, dan ekosistem semakin kuat setiap siklus.
DeFi tidak akan pernah benar-benar aman, tetapi kita dapat membangun ekosistem yang lebih tahan dengan Defense in Depth—lapisan perlindungan berlapis untuk meningkatkan keamanan. Perlindungan konsumen dan/atau asuransi juga harus berkembang seiring waktu. Menariknya, produk asuransi DeFi DeFi membayar klaim pertamanya setelah serangan bZx—sebuah pencapaian penting.
Bagaimana dengan Desentralisasi dalam DeFi?
Tim bZx menggunakan super-admin keys untuk menghentikan peminjaman dan perdagangan, menyoroti konsentrasi kendali. Langkah ini memang diperlukan untuk menghentikan pengurasan pool jaminan, namun juga menambah risiko baru—bagaimana jika kunci ini disalahgunakan atau diretas? Penghapusan kontrol sepihak adalah inti nilai crypto. Bagaimana seharusnya kita menyikapinya?
Desentralisasi berada dalam spektrum, dan setiap tim perlu mengikuti peta jalan bertahap. Untuk layanan DeFi baru, desentralisasi penuh sejak awal sangat berisiko—akan berbahaya jika eksploitasi ditemukan dan tidak ada langkah cepat yang bisa diambil. Sebaiknya, protokol melakukan desentralisasi secara bertahap setelah membuktikan rekam jejak keamanan yang andal.
Poin-Poin Penting
DeFi terus mendorong batas dan membentuk produk keuangan terprogram masa depan. Laju inovasinya mengesankan, tetapi eksploitasi membuktikan inovasi membawa risiko besar. Kita harus tetap berpikir menyeluruh—serangan pasti terjadi, namun ini bagian dari proses evolusi DeFi. Pada akhirnya, ekosistem yang lebih kokoh dan perlindungan konsumen yang kuat akan muncul.
Perkembangan Kartu Debit Kripto
“Pembelanjaan” selalu menjadi pendorong utama nilai guna kripto, sejak Satoshi memperkenalkan whitepaper Bitcoin. Investor kripto telah lama mencari cara membelanjakan aset mereka—bahkan sekadar membeli kopi di kafe. Kartu debit kripto menjembatani kebutuhan ini; secara fungsi mirip kartu konvensional, namun dananya bersumber dari saldo kripto, bukan rekening bank.
Sejarah
Fitur kartu debit berawal dari beberapa inisiatif, termasuk kartu perdana di platform utama yang diluncurkan lebih awal. Kartu perintis ini memungkinkan pengguna membelanjakan Bitcoin di seluruh merchant yang menerima Visa. Namun, kartu ini bukan white-label, melainkan diterbitkan melalui prosesor pembayaran.
BitPay, Bitwala, Wirex, dan Coinsbank menyusul. Pada masa puncak ICO, perusahaan seperti TenX, Token Card (sekarang Monolith), dan Monaco (kini crypto.com) masuk persaingan. TenX mengumpulkan $80 juta hanya dalam 7 menit melalui ICO; Token Card dan Monaco meraih $12,7 juta dan $27 juta, mencerminkan antusiasme besar pada kartu debit kripto. Persaingan terfokus pada biaya rendah, UX unggul, dan reward.
Tantangannya? Saat itu, sedikit prosesor pembayaran yang bersedia menerbitkan kartu debit kripto—satu menangani kartu tertentu, satu lagi sebagian besar lainnya. Adopsi juga masih rendah. Salah satu kartu kurang diminati karena pemegang lebih memilih menyimpan Bitcoin (karena volatilitas dan nilai investasi) daripada membelanjakannya. Kini, dengan ekosistem matang dan stablecoin, solusi kartu debit yang lebih lengkap siap diadopsi lebih luas.
Dalam beberapa tahun terakhir, satu prosesor mengubah arah dan merek untuk meluncurkan kartu baru berfokus pada pasar Inggris. Sementara lainnya, di masa lalu, Visa memutus kerja sama dengan salah satu prosesor karena “ketidakpatuhan pada aturan operasional,” sehingga kartu-kartu terkait dihentikan.
Ke depan, kartu debit kripto berpotensi kembali populer, apalagi dengan stablecoin berbunga seperti USDC di sejumlah platform. Sebuah platform besar baru-baru ini mendapatkan status Principal Member Visa, memungkinkan penerbitan kartu langsung di Uni Eropa tanpa bank sponsor—langkah historis.
Berita Utama: Komentar atas Perkembangan Penting
Pembaruan Kontroversial Ethereum Memicu Debat Komunitas
Ethereum baru-baru ini menghadapi perdebatan tata kelola intens terkait update penambangan: ProgPow (Progressive Proof of Work). Tujuannya memungkinkan perangkat keras konsumen menambang Ethereum dengan mengurangi dominasi miner ASIC (perangkat khusus berdaya tinggi).
Penerapan ProgPow akan membuat penambangan lebih inklusif, berpotensi meningkatkan desentralisasi, dan mengembalikan visi Ethereum sebagai jaringan anti-ASIC.
Kontroversinya? ProgPow menurunkan total daya komputasi jaringan (karena GPU lebih lemah dari ASIC), sehingga jaringan lebih rentan terhadap serangan 51%. Tak ada algoritma penambangan yang benar-benar anti-ASIC; pada akhirnya, ASIC khusus akan dibuat untuk ProgPow juga. Banyak pihak menilai ASIC penting untuk keamanan jaringan PoW—belum ada chain berbasis ASIC yang mengalami serangan 51%.
Setiap fork kontroversial harus diproses cermat. Kini, taruhannya lebih besar, terutama dengan aset DeFi seperti USDC dan USDT di Ethereum, yang bisa menghambat eksekusi fork yang memecah jaringan.
Meski telah lama dibahas, ProgPow baru-baru ini diterima untuk diimplementasikan. Namun, penolakan komunitas menyebabkan proposal ini ditunda kembali.
Tron Dituduh Melakukan “Hostile Takeover” terhadap Blockchain Steem
Steemit—platform berita sosial mirip Reddit—mengumumkan kemitraan untuk migrasi ke blockchain Tron. Komunitas Steem khawatir Tron Foundation mendapat kekuatan tata kelola berlebihan dan langsung melakukan soft fork yang menonaktifkan hak suara Tron.
Tron membalas dengan bekerja sama dengan sejumlah bursa utama, termasuk yang terdepan, untuk mengoordinasikan hard fork yang mengembalikan hak suara dan membekukan token anggota komunitas Steem yang terlibat dalam tata kelola. Komunitas Steem melihatnya sebagai upaya hostile takeover.
Steem menggunakan mekanisme Delegated Proof of Stake, sehingga setoran dari bursa besar sangat menentukan kemenangan Tron. Kepala salah satu bursa terkemuka mengaku menyetujui hard fork Tron namun tidak mengetahui kontroversinya, lalu menegur Tron atas tindakan tidak etis.
Kejadian ini menyoroti kompleksitas tata kelola blockchain. Pada rantai dPOS, suara mayoritas menentukan hasil—Tron hanya mengikuti aturan sistem. Namun, nilai utama tetap ada di tangan pengguna yang memegang kekuatan ekonomi. Komunitas Steem melawan dengan mematikan aplikasi, mundur dari yayasan, dan mendukung validator favorit.
Peran bursa dan kustodian dalam tata kelola blockchain semakin signifikan. Dengan sebagian besar aset dikuasai, mereka punya kekuatan politik besar. Seiring industri tumbuh, platform terpusat diproyeksikan meluncurkan fitur tata kelola sendiri.
Kesimpulan Berita Utama
Blockchain adalah teknologi revolusioner—namun hakikatnya, ini adalah eksperimen besar ilmu komputer yang melibatkan semua pihak. Tidak ada yang benar-benar “memiliki” jaringan ini; semua dikuasai komunitas kolektif. Momen-momen seperti ini menjadi ujian penting tata kelola blockchain. Baik Ethereum maupun Steem menetapkan preseden penting. Semua pihak harus memperhatikan dengan cermat.
FAQ
Apa itu serangan flash loan bZx? Bagaimana penyerang memanfaatkan celah DeFi untuk meraup keuntungan?
Serangan bZx memanfaatkan flash loan untuk memanipulasi harga Uniswap, memungkinkan short leverage dan arbitrase. Penyerang meraup sekitar $360.000 dengan mengeksploitasi celah oracle harga dan lemahnya proteksi di protokol DeFi.
Apa saja kerentanan dan risiko umum di protokol DeFi, serta bagaimana pencegahannya?
Protokol DeFi berisiko terkena serangan reentrancy dan kebocoran private key. Pencegahan dilakukan dengan praktik pengembangan smart contract terbaik, respons insiden otomatis, dan audit komprehensif di lingkungan mirip mainnet.
Apa itu flash loan (Flash Loan), dan mengapa mudah dimanfaatkan untuk serangan?
Flash loan di DeFi adalah pinjaman tanpa jaminan yang wajib dilunasi pada transaksi yang sama. Fitur ini rentan dieksploitasi karena memberikan akses dana besar tanpa agunan, sehingga penyerang dapat memanipulasi harga aset dan menyerang banyak protokol sekaligus.
Siapa penyedia dan produk utama kartu debit kripto?
Penyedia terkemuka antara lain BitPay dan Revolut. Kartu mereka memungkinkan pembayaran dan penarikan menggunakan kripto, menawarkan solusi transaksi digital yang aman dan praktis.
Apa keunggulan dan risiko kartu debit kripto?
Keunggulan meliputi kemudahan transaksi harian dengan kripto dan akses dana instan. Risiko termasuk fluktuasi harga, celah keamanan, dan ketergantungan pada penyedia terpusat.
Apa risiko keamanan pada liquidity mining dan protokol pinjaman di ekosistem DeFi?
Risiko meliputi bug kode, aturan cacat, dan ancaman sistemik finansial. Proyek perlu audit mendalam, pengendalian risiko ketat, dan pemantauan berkelanjutan untuk mencegah manipulasi pasar dan krisis likuiditas.
Bagaimana proyek DeFi meningkatkan keamanan pasca insiden bZx?
Protokol DeFi menambah fitur upgrade time-locked, memperkuat proses audit dan review, serta meningkatkan desentralisasi tata kelola untuk memitigasi risiko ke depan.
Apa saja batasan dan biaya utama kartu debit kripto?
Kartu debit kripto umumnya menawarkan biaya transaksi rendah namun memiliki batas harian pengeluaran dan penarikan. Biaya dan batasan berbeda-beda tiap kartu. Selalu periksa kripto yang didukung sebelum penggunaan.
* Informasi ini tidak bermaksud untuk menjadi dan bukan merupakan nasihat keuangan atau rekomendasi lain apa pun yang ditawarkan atau didukung oleh Gate.
