Hackers dan pengawasan menghancurkan DeFi
Penulis: ChainCatcher
Pada April 2026, bencana keamanan yang sukses membawa DeFi kembali ke muka depan opini publik. Penggabungan Protokol Kelp DAO dan Drift menyebabkan kerugian lebih dari $575 juta, total nilai penguncian DeFi (TVL) jatuh tajam dari sekitar $172 miliar hingga $148 miliar, dan nilai TVL di atas kapal saja runtuh dari $53 miliar menjadi $40 miliar。
Dalam beberapa hari terakhir, diketahui perusahaan audit keamananOpenZeppelinSaya pikir semua DeFi tidak aman Dia bahkan telah menunjukkan bahwa dia telah mulai secara pribadi untuk menasihati kerabat dan teman-temannya untuk membersihkan semua posisi DeFi, termasuk perjanjian yang secara luas diakui sebagai \"low-risk blues\"。
Penilaian ini, meskipun sangat menyedihkan, patut dipertimbangkan. Setelah semua, OpenZeppelin telah lama menjadi salah satu pembangun infrastruktur keamanan paling penting di dunia DeFi, dengan standar kontrak cerdas dan alat keselamatan berjalan melalui hampir seluruh industri. Jika bahkan mereka yang mengetahui sistem keamanan kontrak yang cerdas mulai mempertanyakan risiko DeFi dan untuk menarik secara tegas, hal ini pasti berarti bahwa beberapa masalah yang lebih dalam sedang muncul。
Pada beberapa tahun terakhir, setiap kali DeFi mengalami kemunduran, seseorang dengan cepat menemukan penyebab tertentu. Ketika pasar-pasar mengalami depresi, tanggung jawab dikaitkan dengan peningkatan makro; ketika serangan hacker terjadi, mereka dianggap sebagai hasil dari sebuah celah teknis; dan ketika regulator bertindak, mereka direlegasikan ke tekanan kebijakan。
Namun, jika waktu diperpanjang, seseorang menemukan semakin jelas bahwa dilema yang dihadapi DeFi saat ini tidak disebabkan oleh serangan tunggal, oleh kebijakan regulasi atau oleh proyek yang gagal, tetapi oleh fakta bahwa dua logika inti di mana awalnya dibangun sedang ditantang secara bersamaan。
Logika dari dunia teknologi, dimana kode dapat menggantikan kepercayaan. Logika lainnya berasal dari dunia sistemik, di mana jaringan terbuka dapat mengelilingi sistem keuangan tradisional。
Hacker dan regulator telah memukul dua pilar secara terpisah。
Evolusi mendalam dari krisis keamanan DeFi
Paradoks inti di daerah keamanan DeFi tidak berubah selama 10 tahun. Peneliti keamanan Web3 telah mengidentifikasi asimetri mematikan ini: Pertahanan bertahan harus menutup setiap celah yang mungkin, dan penyerang hanya perlu satu link。
Pada wajah itu, sarana serangan tidak lain adalah pola biasa pelanggaran rantai silang, pembajakan multiple-signature, ramalan, dll. Namun dua insiden Kelp DAO dan Drift Protocol mengungkapkan tren yang lebih brutal: celah paling mematikan, sering kali di luar kode kontrak cerdas。
Pada 18 April, Kelp DAO diserang oleh perjanjian sumpah berat tentang mobilitas Taifaf. Apanedon menggunakan DVN dari Jembatan Trans-Cyber LayerZero (desentralisasi jaringan autentikasi), para penyerang memalsukan informasi lintas-Cyclical dan menghapus 116.500 rsETH dari Jembatan Trans-Cyber dalam waktu berjam-jam, berjumlah sekitar $293 juta pada saat itu。
Sifat bencana adalah kesalahan konfigurasi, bukan cacat kode. Diagona Kelp DAO telah memilih \"1-of-1\" untuk jaringan autentikasi cross-link LayerZero - hanya satu node DVN yang diperlukan untuk mengkonfirmasi bahwa pesan cross-chain dianggap sah. Secara keseluruhan sistem jembatan adalah deunct ketika penyerang menyerang dua node RPC yang memberikan data validasi dan meluncurkan serangan DDoS
Pada 1 April, Drift Protocol, salah satu kontrak ekologi terbesar Solana ' s, diserang, dengan kehilangan $ 285 juta, serangan DeFi tunggal terbesar sampai saat ini pada tahun 2026 dan kasus hacker terbesar kedua dalam sejarah Solana ' s。
Ini juga bukan kesenjangan kontraktual yang cerdas. Melalui rekayasa sosial, penyerang menangkap setidaknya dua dari tiga penandatangan yang telah menandatangani dompet dan menggunakan Solana ' s tahan fungsi nonce untuk memaksa mereka untuk menandatangani kesepakatan jahat di muka. Pencurian dana dihentikan dalam waktu kurang dari 12 menit ketika para penyerang diberi wewenang administrator。
Penyebab akar serangan adalah kegagalan total OpSec untuk beroperasi: konfigurasi yang tidak pantas dari dompet ganda, keberadaan daerah buta untuk manajemen kunci dan ketiadaan jalur rekayasa sosial。
Dua insiden ini mengungkapkan evolusi mendalam krisis keamanan DeFi: terobosan serangan adalah pergeseran sistematis dari pelanggaran kode kontrak pintar tradisional ke konfigurasi dan lapisan manusia/OpSec。
Keaman kontrak intelektual pada dasarnya adalah permainan yang sangat asimetris — partai defensif harus memperbaiki semua celah, dan pihak yang menyerang perlu menemukan hanya satu untuk mencuri uang. \" Asimetri asimetrius ini cepat disequilibriuming setelah AI mulai meningkatkan efisiensi serangan di tingkat indeks。
Agen coding AI coding AI mampu memampatkan masalah yang digunakan untuk membutuhkan tim topi putih atas selama beberapa minggu untuk otomatis lengkap dalam beberapa menit, dan bahkan dapat menghasilkan skrip serangan secara otonom berdasarkan kode protokol terbuka. Para pendiri OpenZeppelin, salah satu perusahaan audit keamanan paling dominan di industri, membuat penilaian pesimis seperti itu, lebih seperti sinyal — industri keamanan itu sendiri sadar bahwa kerangka pertahanan yang ada menghadapi kegagalan sistemik。
Melanjutkan penyebaran tekanan regulator
Meskipun krisis keamanan semakin dalam, kekuatan regulator terus menekan pada dua dimensi di bawah rantai。
Pada 26 Mei, Pemerintah Inggris menambahkan pertukaran mata uang terenkripsi HTX ke daftar sanksi Rusia, pertama menggunakan regulasi 17A untuk memberlakukan sanksi atas pertukaran aset terenkripsi. Kepangeranan Britania Raya menuduh HTX menangani $3,3 triliun transaksi pada tahun 2025, diduga menyediakan layanan keuangan ke jaringan pembayaran A7 yang disetujui dan Garantex pertukaran Rusia。
EFEK RIAK RIPPLE DARI SANKSI TELAH MENYEBAR DENGAN CEPAT, DENGAN BEBERAPA PERUSAHAAN ARUS UTAMA AML MENEMPATKAN ALAMAT PERTUKARAN HTX DALAM DAFTAR ALAMAT BERBAHAYA, BEBERAPA PERTUKARAN MENGGUNAKAN SISTEM AML MEREKA KEMUDIAN MEMPERKETAT ULASAN TRANSAKSI MEREKA TERKAIT ALAMAT HTX, DAN SEJUMLAH BESAR PENGGUNA HTX TIDAK DAPAT MEMPERHITUNGKAN ASET MEREKA PADA PERTUKARAN LAIN。
INSIDEN HTX MENGUNGKAPKAN DILEMA YANG LEBIH MENDALAM: DALAM KONTEKS GEOPOLITIK YANG KOMPLEKS, PERINTAH SANKSI REGULATORI-INISIALISASI DAPAT MEMICU EFEK RIAK YANG TERUS MENINGKAT PADA RANTAI, AKHIRNYA MEMPENGARUHI TRANSFER DANA KE PENGGUNA BIASA YANG TAK TERHITUNG JUMLAHNYA. SALAH SATU PENGGUNA HTX MEMEGANG ASET SEPENUHNYA TIDAK BERSALAH, TETAPI KARENA RISIKO KEPATUHAN YANG POTENSIAL DARI PLATFORM, MUNGKIN AKAN MENJADI SUBJEK INTERSEPSI \"FIREWALL\" SELURUH AML, PEMBEKUAN ATAU PENUNDAAN TAK TERBATAS KETIKA DISAJIKAN KE PERTUKARAN LAIN。
Memang, insiden HTX hanya ujung dari gunung es tekanan regulator. Apa yang benar-benar membatasi inovasi DeFi adalah karakterisasi hukum dari model operasi bawah perjanjian oleh regulator。
Selama dua tahun terakhir, SEC Amerika Serikat telah meluncurkan serangkaian survei tentang perjanjian \"Blue Chip\" DeFi dari Compund, Uniswap dan Curve, berfokus pada apakah bukti-bukti pemerintahan merupakan jaminan yang tidak terdaftar. A strike lebih langsung dari bidang token berbasis pendapatan — tindakan penegakan SEC terhadap produk seperti Gemini Ern menunjukkan bahwa, selama perjanjian membayar bunga pasif pengguna berdasarkan deposito, sangat mudah diakui sebagai kontrak investasi, sehingga memicu pendaftaran dan pengungkapan kewajiban dari Undang-Undang Sekuritas。
Karakterisasi legalitas ambiguitas dan tekanan ini secara langsung mencekik arah paling imajinatif dan inovatif DeFi: Dari pertambangan cair ke produk yang menguntungkan secara struktural, pengembang harus khawatir setiap saat tentang apakah model ekonomi mata uang mereka sendiri menginjak garis merah。
Bisa dikatakan, penekanan awal DeFi pada \"tidak perlu izin\" adalah berkembang menjadi bentuk lain dari \"sistem lisensi\". Kelayakan ini tidak berasal dari perusahaan atau perjanjian, tetapi dari setiap hubungan dalam rantai kepatuhan regulator: daftar AML, mesin kontrol angin pertukaran, yurisdiksi lengan panjang hukum keamanan, dll。
/ III. Ke arah Realisme
Saat melihat kembali tenggelamnya DeFi beberapa tahun terakhir, dilema keamanan dan tekanan regulator DeFi tidak independen. Ketiadaan kerangka kerja regulator yang jelas membuat sulitnya membangun konsensus industri pada standar keselamatan; frekuensi insiden keamanan, pada gilirannya, memberikan pembenaran paling langsung untuk penegakan ketat oleh badan regulator global; dan asimilasi keamanan yang mempercepat era AI, ditambah dengan ambang kepatuhan progresif, akhirnya mendorong pengguna biasa yang tak terhitung jumlahnya ke pusat badai。
Intinya, kekakuan batas-batas audit keamanan dan kepatuhan regulator terus mengikis dua asumsi inti di mana DeFi didasarkan — \"kode, hukum\", dan \"kebebasan tanpa izin\"。
Saat ini, para pengguna lebih banyak mengambil risiko teknologi daripada keuangan tradisional, tetapi tidak harus memiliki lebih banyak kebebasan daripada keuangan tradisional. Itulah sebabnya banyak peserta pasar hari ini bingung. Mereka menemukan bahwa DeFi tidak aman sebagai bank atau benar-benar terbuka seperti yang awalnya dijanjikan。
Dan ketika sistem kehilangan premi keamanan dan premi gratis, logika pertumbuhannya secara alami ditantang. Oleh karena itu, pertanyaan itu mungkin tidak boleh menjadi ” hacking dan regulasi yang menghancurkan DeFi ”。
Lebih tepatnya, hacker dan regulasi membuat industri menghadapi kenyataan. Hackers membuat orang menyadari bahwa kode tidak menciptakan kepercayaan pada alam; regulasi membuat orang menyadari bahwa dunia rantai belum pernah menjadi alam semesta paralel beroperasi di luar dunia nyata。
Bukan berarti DeFi gagal. Sebaliknya, itu berarti bahwa percobaan itu bergerak dari idealisme ke realisme。
Dia tidak menghancurkan tangan hacker atau jaring peraturan. Ini sedang didefinisikan kembali oleh hukum kelangsungan hidup, yang dibentuk oleh keduanya: Kedepannya DeFi adalah bergerak ke arah yang lebih stringent industrial safety self-regulasi dan compliance framework, memaksa kompromi pada prinsip de-centreization; atau kehilangan bertahap keyakinan pasar dan marginalisasi jangka panjang dalam pertarungan berkelanjutan melawan ketidakseimbangan。
