Risiko Rantai dan Hak Penanganan Darurat dalam Krisis KelpDAO

Intisari Utama: Celah jembatan KelpDAO senilai 2,9 miliar dolar AS memicu rantai reaksi, membekukan likuiditas WETH lebih dari 6,7 miliar dolar AS di lima rantai, dan menyentuh pengguna yang sebelumnya tidak pernah berinteraksi dengan rsETH. Peristiwa ini juga mengungkap batas nyata dari sistem “permissionless”: Dewan Keamanan Arbitrum melalui pengaturan tata kelola mengotorisasi peningkatan kontrak atomik yang melakukan transisi status paksa, memindahkan 30.766 ETH tanpa tanda tangan pemilik.

Pada 18 April 2026, jembatan lintas rantai rsETH KelpDAO diserang, kehilangan sekitar 290 juta dolar AS, menjadi insiden keamanan DeFi terbesar tahun ini. Penelusuran awal mengarah ke Lazarus Group, organisasi serangan tingkat negara yang memiliki jejak panjang terhadap infrastruktur kripto [1]. Serangan ini bukan memanfaatkan celah kontrak pintar, melainkan melalui penyuntikan racun ke satu node jaringan verifikasi desentralisasi (DVN) yang menjadi dependensinya, memalsukan pesan lintas rantai, dan melepaskan token rsETH tanpa pembakaran yang sesuai di rantai sumber.

LayerZero [1] dan KelpDAO [2] telah menjelaskan secara rinci tentang serangan tersebut. Artikel ini mengambil sudut pandang lain: bukan mengulang proses serangan, melainkan mengamati apa yang terjadi setelahnya: bagaimana ketergantungan infrastruktur titik tunggal memicu rantai pembekuan likuiditas ratusan juta dolar di lima rantai, dan bagaimana rantai ini memaksa kerangka tata kelola desentralisasi menggunakan kekuasaan darurat yang terpusat di mata publik.

Rantai sebab-akibat dari insiden KelpDAO melibatkan tiga lapisan dari tumpukan teknologi “desentralisasi”: ketergantungan DVN titik tunggal memungkinkan serangan; interoperabilitas DeFi (alias “Lego DeFi”, di mana protokol saling menyambung seperti balok) kemudian mengubah celah jembatan ini menjadi krisis likuiditas sistemik; dan skala krisis ini secara balik memaksa kerangka tata kelola mengungkap kekuasaan darurat terpusat yang tertanam di dalamnya.

Latar Belakang: Ringkasan Serangan KelpDAO

KelpDAO adalah penerbit rsETH. rsETH adalah token staking likuiditas ulang (LRT), mewakili posisi staking ETH yang tersebar di beberapa operator. Untuk memungkinkan peredaran lintas rantai rsETH, KelpDAO mengintegrasikan protokol pesan LayerZero. Protokol ini bergantung pada DVN (jaringan verifikasi desentralisasi) untuk mengonfirmasi keabsahan pesan lintas rantai sebelum dieksekusi di rantai target.

Pengaturan utama yang dipilih: rsETH OApp KelpDAO menggunakan konfigurasi 1-of-1 DVN, hanya mengandalkan DVN yang dioperasikan LayerZero Labs sebagai satu-satunya validator. Ini berarti keamanan lintas rantai rsETH sepenuhnya bergantung pada satu entitas verifikasi. Dokumentasi integrasi LayerZero secara tegas menyarankan penggunaan konfigurasi DVN berlebih (redundansi), dan LayerZero menyatakan bahwa sebelum kejadian, mereka telah menyampaikan praktik terbaik ini kepada KelpDAO [1]. KelpDAO membalas bahwa konfigurasi 1/1 adalah “sesuai dokumentasi LayerZero dan sebagai konfigurasi default yang dipublikasikan untuk setiap deployment OFT baru”, serta “sudah diakui sebagai konfigurasi yang tepat selama proses ekstensi L2” [2].

Penyerang berhasil mengakses dua node RPC DVN LayerZero dan mengganti file binernya dengan versi berbahaya. Node-node berbahaya ini hanya mengembalikan data status on-chain palsu terhadap alamat IP DVN, sementara terhadap semua pengamat lain (termasuk infrastruktur monitoring LayerZero sendiri) tampil normal. Pada saat yang sama, serangan DDoS terhadap node RPC yang tidak terinfeksi memaksa sistem beralih ke node yang sudah diracuni. Hasilnya: DVN mengonfirmasi satu pesan lintas rantai yang tidak pernah terjadi di sumbernya, dan tanpa pembakaran yang sesuai di rantai sumber, adapter Ethereum (0x85d4…8ef3) melepaskan 116.500 rsETH [1, 3]. Transaksi pelepasan ini berjumlah 0x1ae232…db4222. Bukti on-chain menunjukkan bahwa target Ethereum menerima nonce 308, sementara nonce maksimum yang dilaporkan oleh sumber Unichain tetap 307 [10].

KelpDAO mendeteksi anomali dalam 46 menit dan menghentikan semua kontrak terkait. Langkah ini mencegah serangan lanjutan terhadap 40.000 rsETH (sekitar 95 juta dolar AS) [2]. Tapi saat itu, penyerang sudah masuk ke tahap berikutnya: mengubah rsETH yang dicuri menjadi aset pinjaman melalui protokol DeFi.

Dari token palsu ke aset pinjaman

Penyerang tidak langsung menjual rsETH yang dicuri. 116.500 token ini didistribusikan ke tujuh dompet cabang, dan diubah menjadi ETH, posisi pinjaman di Compound V3, serta melalui jembatan lintas rantai ke Arbitrum [10]. Tapi jalur paling berpengaruh adalah melalui Aave: penyerang menyetor 89.567 rsETH (sekitar 221 juta dolar AS) ke dua pasar pinjaman di Aave di Ethereum Core dan Arbitrum. Dengan memanfaatkan fitur E-Mode Aave (yang memungkinkan aset terkait mendapatkan rasio pinjaman nilai lebih tinggi), penyerang meminjam 82.620 WETH dan 821 wstETH dengan jaminan rsETH yang disetor [3].

Posisi-posisi ini dileverage secara ekstrem. Faktor kesehatan dari tujuh alamat penyerang berada di kisaran 1,01 hingga 1,03, hanya sedikit di atas ambang likuidasi [3]. Hal ini dimungkinkan karena E-Mode Aave menetapkan LTV sebesar 93% untuk rsETH, sedangkan ambang likuidasi adalah 95%, sehingga buffer keamanan hanya 2 poin persentase.

Rincian posisi di kedua pasar adalah sebagai berikut:

Tabel 1: Rincian pinjaman dan penyediaan rsETH serta WETH/wstETH dari penyerang di dua pasar Aave

Sumber data: statistik on-chain, menggabungkan Etherscan, Arbiscan, dan DeBank, per 22 April 2026 pukul 16:51 UTC. Nilai USD mencerminkan harga token saat transaksi terjadi.

Rantai efek: Bagaimana celah jembatan membekukan lima rantai WETH

Gambar di bawah menggambarkan seluruh rantai cascade. Langkah 1 dan 2 (celah jembatan dan penyetoran jaminan di Aave) sudah dijelaskan di bagian latar belakang. Bagian ini mendalami langkah 3 sampai 5: mengapa WETH harus dibekukan, parameter apa yang membentuk tingkat keparahan cascade, dan biaya nyata dari pembekuan tersebut.

Gambar 1: Alur cascade dari celah jembatan hingga pembekuan WETH di lima rantai

Mengapa WETH harus dibekukan

19 April, Protocol Guardian Aave membekukan semua pasar rsETH dan wrsETH di V3 dan V4, melarang penggunaan rsETH sebagai jaminan untuk deposit dan pinjaman baru [8]. Ini adalah langkah respons pertama yang diharapkan.

Langkah kedua yang tak terduga terjadi pada 20 April: Aave membekukan cadangan WETH di Ethereum, Arbitrum, Base, Mantle, dan Linea [3, 8].

Mengapa membekukan WETH? Ini adalah aset yang tidak diserang dan tidak terkait langsung dengan jembatan lintas rantai. Karena rsETH yang disetor adalah hasil pencetakan tanpa aset sumber yang sesuai. Oracles Aave terus memberi harga penuh pasar untuk token ini, memperlakukannya sebagai jaminan yang tidak bisa dibedakan dari rsETH yang sah yang melalui jembatan. Penyerang memanfaatkan ketidakseimbangan informasi ini untuk meminjam WETH nyata sebagai jaminan terhadap utang tanpa jaminan di sistem. Ini menguras WETH di kolam pinjaman, sehingga tingkat utilisasi pasar yang terdampak mencapai 100%. Dengan tingkat utilisasi penuh, deposan WETH tidak bisa menarik dana, dan penaksir tidak bisa melakukan likuidasi dengan aset dasar. Mekanisme likuidasi, yang merupakan pertahanan utama terhadap bad debt, secara efektif lumpuh [3].

Jika pinjaman WETH tetap terbuka, likuiditas di pool lain di rantai lain bisa juga disedot dengan mekanisme yang sama: menyetor rsETH, meminjam WETH, lalu keluar. Membekukan WETH bukan pilihan, melainkan satu-satunya cara untuk membatasi kerusakan.

Tiga parameter yang membentuk cascade

Tingkat keparahan cascade ini tidak kebetulan. Tiga parameter protokol menentukan skala kerusakan langsung dan cakupan pembekuan yang dihasilkan.

1. LTV: Berapa banyak aset sehat yang bisa diambil dari satu unit jaminan yang terkontaminasi

E-Mode Aave menetapkan LTV sebesar 93% untuk rsETH, artinya setiap dolar rsETH yang terkontaminasi dapat meminjam 0,93 dolar WETH. Sebagai perbandingan, LTV rsETH di Spark Protocol saat ini adalah 72%, dan Fluid sekitar 75% [3]. Parameter ini adalah keputusan desain yang matang, bukan kelalaian. Pada Januari 2026, tata kelola Aave meningkatkan LTV rsETH dari 92,5% menjadi 93%, mempersempit buffer keamanan yang sudah tipis dari 2,5% menjadi 2%. LTV dasar (non-E-Mode) sengaja diatur mendekati nol (0,05%), memaksa semua pinjaman rsETH yang signifikan melalui jalur E-Mode dengan LTV tinggi.

[3] 2. Kedalaman pool: Seberapa rapuh pasar terhadap pengambilan likuiditas

Jumlah pinjaman yang sama di pool dengan kedalaman berbeda menghasilkan dampak yang berbeda pula.

Tabel 2: Skala cadangan WETH di pasar Aave V3 di berbagai rantai dan proporsi langsung yang diambil oleh penyerang

Penyerang hanya menyetor rsETH di pasar V3 Aave. V4 (hanya di Ethereum, diluncurkan 30 Maret 2026) juga terkena pembekuan pencegahan rsETH ###, tetapi tidak tercantum di tabel ini. Data cadangan WETH berasal dari LlamaRisk [8]; data pinjaman berasal dari rincian alamat di atas.

Penyerang fokus melakukan pinjaman di Ethereum Core dan Arbitrum. Tapi yang penting adalah apa yang terjadi di rantai lain yang tidak pernah disentuh penyerang. Karena rsETH diterima sebagai jaminan di Mantle, Base, dan Linea, begitu jembatan dasar rusak, posisi pengguna yang sudah ada di rantai ini yang menggunakan rsETH sebagai jaminan berisiko mengalami bad debt. Keputusan Aave untuk secara pencegahan membekukan WETH di semua lima rantai adalah langkah yang tepat: jika pasar ini tetap terbuka, mereka akan terpapar mekanisme pengambilan yang sudah diverifikasi di Ethereum dan Arbitrum [3, 8].

[3] 3. Jumlah deployment lintas rantai: cakupan penyebaran pembekuan

rsETH di 11 dari 23 pasar Aave V3 dijadikan jaminan, dan 7 di antaranya memiliki eksposur signifikan ###. Penyerang hanya beroperasi di 2 rantai, tetapi pembekuan WETH pencegahan mempengaruhi setidaknya 5 rantai, termasuk pasar yang sama sekali tidak pernah disetor token oleh penyerang. LTV menentukan berapa banyak yang bisa diambil di setiap rantai, kedalaman pool menentukan tingkat dampak di masing-masing pasar. Tapi, jumlah link rsETH yang diterima sebagai jaminan akhirnya menentukan cakupan penyebaran pembekuan.

Parameter ini tidak statis. Sebelum serangan, 9 hari sebelumnya, yaitu 9 April, Risk Steward Aave meningkatkan batas pasokan rsETH: Ethereum Core dari 480.000 menjadi 530.000, Mantle dari 52.000 menjadi 70.000 [3]. Meskipun ini tidak secara langsung menyebabkan serangan (karena persiapan penyerang kemungkinan sudah dilakukan sebelum penyesuaian ini), hal ini menyoroti bagaimana penyesuaian parameter secara umum secara tidak sengaja memperbesar dampak kejadian di masa depan.

Dampak nyata dari pembekuan

Hasilnya: celah jembatan senilai 2,9 miliar dolar AS menyebabkan likuiditas WETH di lima rantai dibekukan, dan total cadangan di pasar yang terdampak melebihi 67 miliar dolar AS.

Kerugian langsung terbatas pada jumlah pinjaman penyerang. Tapi dalam pinjaman DeFi, pembekuan bukan sekadar gangguan operasional kecil. Ia mengunci likuiditas pengguna, mencegah penarikan, mengacaukan posisi aktif, dan melemahkan mekanisme likuidasi yang melindungi dari bad debt. Sebagian besar pengguna yang terdampak sama sekali tidak pernah berinteraksi dengan rsETH, KelpDAO, atau jembatan lintas rantai. Mereka adalah deposan dan peminjam WETH di Aave, yang berpartisipasi di pasar pinjaman yang mereka anggap langsung dan jelas.

WETH adalah aset likuiditas dasar di DeFi. Membekukannya sama saja menutup jalur penarikan dari bank terbesar di kota ini, karena sebuah institusi keuangan lain menggunakan produk yang sebagian besar deposan belum pernah dengar dan kemudian tertipu.

Laporan insiden LlamaRisk [3] membangun dua model skenario bad debt, memberikan prediksi shortfall per rantai, dan merupakan analisis risiko penyebaran paling rinci saat ini. Tapi bahkan analisis ini fokus pada potensi bad debt, bukan biaya operasional yang lebih luas akibat pembekuan: penutupan penarikan, hambatan posisi, dan melemahnya kemampuan pasar untuk melakukan likuidasi. Quantifikasi lengkap dari dampak cascade secara keseluruhan masih menjadi pertanyaan terbuka.

Jika serangan cascade ini kompleks, proses pemulihannya pun tidak sederhana. Interoperabilitas yang memungkinkan kerusakan juga membatasi proses perbaikan. Aave tidak bisa sekadar “membuka semua” lagi. Setiap pasar harus dievaluasi secara independen, berdasarkan eksposur rsETH lokal, tingkat utilisasi WETH, dan aktivitas penyerang, menghadapi risiko berbeda. Garis waktu menunjukkan hal ini dengan jelas:

19 April: Protocol Guardian membekukan semua cadangan rsETH dan wrsETH di V3 dan V4 [3].

20 April: WETH dibekukan di Ethereum, Arbitrum, Base, Mantle, dan Linea [3, 8].

21 April: Hanya WETH di Ethereum Core V3 yang dicairkan, dengan LTV tetap 0 sebagai langkah pencegahan. WETH di Ethereum Prime, Arbitrum, Base, Mantle, dan Linea tetap dibekukan [8].

Empat hari setelah serangan, hanya satu dari enam pasar yang terdampak yang berhasil dipulihkan. Jalur pemulihan mengikuti kompleksitas yang sama dengan jalur serangan: bertahap, per protokol, per rantai, dan setiap langkah membutuhkan koordinasi tata kelola dan penilaian risiko.

Respon darurat: Bagaimana Arbitrum memindahkan 30.766 ETH tanpa tanda tangan pemilik

Sementara Aave menangani cascade pinjaman, Arbitrum juga melakukan langkah respons paralel. Pada 21 April, Dewan Keamanan Arbitrum mengumumkan tindakan darurat, membekukan 30.766 ETH yang dimiliki penyerang di Arbitrum One [8]. Dana ini dipindahkan ke alamat pembekuan sementara (0x…0DA0), dan hanya bisa diproses melalui voting tata kelola Arbitrum selanjutnya [6].

[7] Tindakan tata kelola

Dewan Keamanan Arbitrum adalah bagian resmi dari struktur tata kelola DAO Arbitrum, bukan entitas eksternal atau komite sementara. Langkah darurat ini diumumkan secara terbuka di forum tata kelola Arbitrum ###, dan dilaksanakan setelah konfirmasi identitas penyerang oleh aparat penegak hukum [7], lengkap dengan detail transaksi yang dapat diverifikasi oleh siapa saja. Dewan Keamanan bertindak dalam batas kewenangannya, menyeimbangkan komitmen terhadap keamanan dan integritas komunitas Arbitrum tanpa merugikan pengguna atau aplikasi di jaringan [6].

Ini bukan keputusan tertutup, melainkan tindakan darurat yang diotorisasi tata kelola secara terbuka dan transparan, dengan bukti on-chain yang jelas.

[6] Mekanisme teknis

Yang menarik dari langkah ini bukan sekadar keputusan tata kelola, melainkan cara pelaksanaannya di chain. Berdasarkan analisis Phalcon dari BlockSec ###, Dewan Keamanan menggunakan operasi atomik tiga langkah:

Upgrade Executor secara sementara meningkatkan kontrak inbox Ethereum (DelayedInbox), menambahkan fungsi baru bernama sendUnsignedTransactionOverride.

Fungsi ini digunakan untuk membuat pesan lintas rantai yang menyamar sebagai alamat penyerang. Pesan ini disuntikkan melalui Bridge.enqueueDelayedMessage, dengan jenis=3 yang sesuai dengan L1MessageType_L2Message di Arbitrum Nitro. Jenis pesan ini memungkinkan eksekusi L2MessageKind_UnsignedUserTx di L2. Yang penting, jalur ini tidak memerlukan verifikasi tanda tangan. Parameter sender dari standar msg.sender digantikan oleh input yang dikendalikan pemanggil, melalui alias alamat L1→L2 yang membawa konteks alamat penyerang.

Setelah transaksi di L2 selesai, kontrak inbox dikembalikan ke implementasi asli.

Transaksi di L1 [9] dan transaksi L2 yang dihasilkan dapat dilihat secara publik di Phalcon Explorer. Transaksi L2 ditampilkan sebagai “dari penyerang ke 0x…0DA0”, tetapi ini bukan transfer tanda tangan pengguna standar, melainkan transisi status paksa di chain: melalui peningkatan hak infrastruktur tata kelola, aset dipindahkan tanpa kunci pribadi pemilik aset.

[4] Dilema desentralisasi

Prinsipnya sangat langsung: kontrak yang dapat diupgrade memberi kekuasaan tak terbatas. Jika kontrak bisa diupgrade, perilakunya bisa diubah untuk melakukan apa saja, termasuk memindahkan aset tanpa tanda tangan pemilik. Ini adalah kemampuan inheren dari sistem berbasis kontrak yang dapat diupgrade. Saat ini, 30.766 ETH disimpan di alamat pembekuan. Hanya voting tata kelola Arbitrum berikutnya yang akan menentukan penggunaannya. Mode upgrade-eksekusi-restore atomik ini tidak meninggalkan perubahan permanen pada kontrak inbox, dan tidak mempengaruhi pengguna atau aplikasi lain [5].

Dari sudut pandang penilaian yang rasional, tindakan Dewan Keamanan Arbitrum adalah benar. Penyerang diakui sebagai aktor tingkat negara, aparat penegak hukum terlibat, proses tata kelola terbuka dan transparan, dan aset yang dicuri sebesar 71 juta dolar AS telah dipulihkan atau setidaknya dicegah dari pencucian uang lebih lanjut.

Tapi kemampuan yang memungkinkan ini jauh melampaui kasus tertentu ini. Mekanisme upgrade-eksekusi-restore yang sama secara prinsip dapat digunakan untuk memindahkan aset apa pun yang dimiliki alamat di Arbitrum One. Kekuasaan Dewan Keamanan tidak terbatas pada alamat penyerang atau dana yang dicuri; ini adalah kemampuan umum yang diatur oleh tata kelola, bukan kode.

Inilah dilema yang dihadapi. Pengguna yang berinteraksi dengan L2 mungkin berasumsi secara implisit: “Aset saya dikendalikan oleh kunci pribadi saya, tanpa tanda tangan saya, tidak ada yang bisa memindahkannya.” Respons darurat KelpDAO menunjukkan bahwa model ini tidak lengkap. Di Arbitrum dan L2 lain yang memiliki kontrak jembatan yang dapat diupgrade dan Dewan Keamanan, aset dapat dipindahkan melalui tindakan tata kelola yang sepenuhnya melewati verifikasi tanda tangan.

Arbitrum bukan satu-satunya contoh. Pembekuan pasar Aave juga merupakan langkah darurat yang dipicu tata kelola. Dalam insiden KelpDAO, beberapa protokol secara bersamaan menggunakan kekuasaan pusat: Aave membekukan pasar di lima rantai, Dewan Keamanan Arbitrum melakukan transfer paksa, dan KelpDAO melakukan penangguhan global kontrak. Respon krisis dari ekosistem “desentralisasi” ini secara praktis adalah koordinasi kekuasaan terpusat.

Masalahnya bukan soal keberadaan kekuasaan darurat itu sendiri. Kasus KelpDAO menunjukkan bahwa kekuasaan ini memang diperlukan. Tapi, batas, kondisi trigger, dan mekanisme akuntabilitasnya harus cukup transparan. Pengguna yang menyetor aset di L2 harus mampu menjawab pertanyaan dasar: dalam kondisi apa Dewan Keamanan bisa memindahkan dana saya? Apa hak penuntutan saya?

Situasi dana yang dicuri

Pelacakan independen terhadap dana yang dicuri (visualisasi lengkap di MetaSleuth ###) menunjukkan bahwa penyerang menyebar 116.500 rsETH ke 7 alamat utama, sebagian besar disetor ke Aave (Ethereum Core dan Arbitrum) sebagai jaminan WETH dan wstETH, dan token yang dipinjam ini setelah sedikit diperdagangkan di DEX, dikumpulkan di alamat yang sama 0x5d39…7ccc (Ethereum / Arbitrum). Hingga 22 April 2026 pukul 05:42 UTC, dana yang dicuri tersebar dalam empat status:

Tabel 3: Distribusi dana yang dicuri dalam empat status (per 22 April 2026 pukul 05:42 UTC)

Sekitar 31% dibekukan atau dicegat, 23% tetap di satu alamat Ethereum yang tidak aktif, dan 46% telah atau sedang didistribusikan ke 103 alamat turunannya. Penyerang belum mencabut rsETH di Aave, dan posisi pinjaman WETH serta wstETH juga belum dikembalikan; posisi pinjaman ini sudah ditinggalkan.

Rantai sebab-akibat dari insiden KelpDAO melibatkan tiga lapisan dari tumpukan teknologi “desentralisasi”.

Dimulai dari ketergantungan titik tunggal. Konfigurasi DVN 1-of-1 KelpDAO memperkecil verifikasi lintas rantai menjadi satu entitas, sehingga seluruh jembatan bisa ditembus melalui satu komponen infrastruktur yang telah disusupi. Arsitektur mendukung desentralisasi, tetapi konfigurasi tidak.

Interoperabilitas kemudian mengubah celah jembatan ini menjadi krisis likuiditas sistemik. Serangan ini membekukan aset dasar DeFi, WETH, di lima rantai, mempengaruhi likuiditas ratusan miliar dolar, dan melibatkan pengguna yang sama sekali tidak berinteraksi dengan rsETH atau KelpDAO. Cakupan cascade ini dibentuk oleh parameter yang dapat diukur: pengaturan LTV agresif, pool dangkal, dan penyebaran jaminan lintas rantai yang luas.

Skala krisis ini kemudian memaksa tata kelola desentralisasi menggunakan kekuasaan pusat darurat. Dewan Keamanan Arbitrum melalui tata kelola mengotorisasi peningkatan kontrak secara atomik, memindahkan 30.766 ETH tanpa tanda tangan pemilik. Aave melalui langkah darurat tata kelola membekukan pasar di lima rantai. Respon ini efektif, transparan, dan bisa dikatakan perlu, sekaligus menjadi bukti nyata batas keberadaan “permissionless”.

Ketergantungan titik tunggal memungkinkan serangan, interoperabilitas memperbesar kerusakan, dan kerusakan ini mengungkap kekuasaan pusat yang selama ini tersembunyi di dalam kontrak yang dapat diupgrade dan kerangka tata kelola. Mengatasi rangkaian masalah ini membutuhkan kolaborasi semua pihak:

Untuk protokol: tingkat keamanan keseluruhan bergantung pada titik terlemah, dan titik terlemah dalam insiden ini adalah infrastruktur DVN, bukan kontrak pintar [6]. Keamanan yang efektif memerlukan cakupan sistemik di berbagai dimensi, termasuk keamanan kode, infrastruktur, pengelolaan kunci, dan operasi. Penilaian risiko lengkap dan pengujian penetrasi harus menguji seluruh tumpukan teknologi secara menyeluruh, bukan hanya komponen tertentu. Monitoring on-chain memungkinkan protokol merespons darurat dalam hitungan menit, bukan jam, dan pelacakan dana lintas rantai yang cepat sangat penting untuk koordinasi pembekuan aset dan upaya pemulihan maksimal. Untuk protokol pinjaman, jaminan aset lintas rantai harus diuji secara stres terhadap skenario “jaminan benar-benar hilang”, dengan mempertimbangkan tiga parameter yang dibahas di atas (LTV, kedalaman pool, jumlah deployment lintas rantai).

Untuk tata kelola dan DAO L2: kekuasaan darurat harus transparan dan akuntabel. Sebagian besar L2 utama sudah memiliki kemampuan ini, tetapi sering tersembunyi dalam dokumen teknis, bukan di materi yang langsung diakses pengguna. Kerangka tata kelola harus secara eksplisit merinci kondisi trigger, batasan cakupan, durasi, dan mekanisme akuntabilitas pasca kejadian.

Untuk pengguna: pahami risiko sistemik yang melekat dalam interoperabilitas DeFi. Dalam insiden ini, pengguna yang tidak pernah berinteraksi dengan rsETH mengalami pembekuan likuiditas di lima rantai. Risiko posisi individual hanyalah bagian dari gambaran besar; aset yang Anda gunakan di protokol, pool, jaminan, dan rantai secara kolektif membentuk risiko yang saling terkait.