April menjadi bulan paling banyak diretas di dunia kripto berdasarkan jumlah insiden, dengan hampir 30 kasus yang dilaporkan, dan salah satu yang terbesar berdasarkan nilai dolar, dengan total kerugian mencapai lebih dari $630 juta. Sebagian besar berasal dari dua eksploitasi DeFi, Drift Protocol dan KelpDAO, yang bersama-sama menyumbang lebih dari 90% dana yang dicuri. Namun dampak dari serangan juga dapat dirasakan di luar protokol yang diretas. Insiden ini dapat merugikan harga token, melemahkan kepercayaan terhadap DeFi, dan memberikan lebih banyak tekanan pada dana likuid dan dana berbasis imbal hasil yang telah berjuang sejak peristiwa likuidasi rekor pada 10 Oktober.

Saya menghubungi beberapa investor dan analis untuk memahami mengapa peretasan DeFi meningkat dan apa artinya bagi dana kripto. Sebagian besar mengatakan insiden terbaru ini tidak mungkin meruntuhkan DeFi, tetapi mereka masih dapat menambah tekanan pada dana melalui harga token yang lebih lemah dan eksposur portofolio.

Di tengah kekhawatiran luas bahwa alat AI yang semakin canggih membantu mendorong rekor jumlah peretasan di bulan April, Igor Igamberdiev, mantan rekan analis saya dan sekarang kepala penelitian di Wintermute, mengatakan perannya tidak boleh dilebih-lebihkan. Igamberdiev, yang juga merupakan bagian dari SEAL 911, sebuah kelompok respons darurat kripto yang membantu tim selama peretasan aktif dan insiden keamanan, mengatakan model bahasa besar telah banyak meningkat baru-baru ini dan sekarang dapat membantu penyerang menemukan kerentanan yang lebih mudah dengan lebih cepat. Namun, ia mengatakan masih sulit untuk menyebut AI sebagai katalis utama gelombang eksploitasi terbaru, terutama ketika banyak insiden masih melibatkan penyalahgunaan fungsi admin dan rekayasa sosial.

Firma analitik blockchain TRM Labs minggu ini mengatakan analisnya mulai berspekulasi bahwa peretas Korea Utara menggunakan alat AI untuk penelitian dan rekayasa sosial, karena serangan seperti Drift tampak lebih bertarget dan kompleks daripada kompromi kunci pribadi sebelumnya. Beberapa investor lain berbagi pandangan serupa, mengatakan AI mungkin membantu dalam serangan, tetapi belum secara otonom menemukan zero-days atau melaksanakan eksploitasi baru. (Kerentanan zero-day adalah cacat perangkat lunak yang tidak diketahui oleh vendor, memberi mereka nol hari untuk menambalnya sebelum peretas mengeksploitasinya.)

Beberapa investor mengatakan DeFi sekarang lebih besar dan lebih terhubung, sehingga ada lebih banyak titik lemah untuk diserang. Francis Zhan, associate di tim kripto di Tribe Capital, mengatakan DeFi sekarang memiliki lebih banyak tautan antar protokol, yang berarti "lebih banyak kompleksitas + lebih banyak TVL [total nilai terkunci] = lebih banyak permukaan serangan per dolar yang diamankan." Sementara itu, Evgeny Gokhberg, pendiri Re7 Capital, dan Amir Hajian, seorang peneliti di firma investasi kripto Keyrock, menunjukkan bahwa April terlihat parah berdasarkan jumlah peretasan, tetapi kerugian sebagai bagian dari TVL DeFi masih di bawah puncak siklus sebelumnya.

 

"Volume peretasan bulan April, jika di-anualisasi, menunjukkan sekitar $750 juta. Dengan TVL DeFi yang diproyeksikan tumbuh 31% — sejalan dengan pertumbuhan rata-rata YoY [tahun ke tahun] sejak 2021 — rasio volume peretasan terhadap TVL terus mengalami penurunan struktural, dari 7,24% pada tahun 2022 menjadi proyeksi 1,49% pada tahun 2026," kata Gokhberg. "Bulan itu terasa akut; namun dengan latar belakang ekosistem yang semakin matang dan berkembang, lintasannya jelas membaik.”

 

Beberapa investor mengatakan keamanan tidak bisa lagi diperlakukan sebagai audit satu kali sebelum peluncuran. Tim DeFi kini membutuhkan pemantauan berkelanjutan, manajemen kunci yang lebih kuat, pengaturan jembatan yang lebih baik, rencana respons insiden yang lebih jelas, dan kontrol yang lebih ketat mengenai siapa yang dapat mengakses fungsi admin. "Masalah strukturalnya adalah protokol DeFi menangani nilai berskala negara dengan arsitektur keamanan berskala startup," kata Anirudh Pai, mitra di Robot Ventures.

Pengeluaran keamanan masih rendah, kata beberapa investor. "Ada banyak sekali protokol yang pada dasarnya tidak terkelola hari ini, tetapi masih memiliki jutaan atau puluhan juta dolar dalam kontrak pintar mereka. Tolok ukur yang tepat ke depan tidak ada hubungannya dengan audit, itu adalah persyaratan dasar, melainkan berapa banyak perhatian yang diberikan pada pemantauan real-time, manajemen kunci, respons insiden, dan opsec yang luas," kata Rob Hadick, general partner di Dragonfly.

AI juga dapat membantu di sisi keamanan. "Sebagian besar protokol masih tidak memiliki infrastruktur pemantauan real-time; mereka mengetahui bahwa mereka telah diretas ketika seseorang mencuit tentangnya," kata Thomas Klocanas, managing partner di Strobe Ventures. "Alat keamanan bertenaga AI adalah salah satu area investasi paling menarik di kripto saat ini." Hadick menambahkan satu catatan: startup keamanan khusus kripto secara historis berjuang karena perusahaan kripto saja belum menjadi pasar yang cukup besar untuk mendukung hasil usaha yang sangat besar. Namun, ketika stablecoin dan aset tokenisasi bergerak ke perusahaan arus utama, hal itu dapat berubah, terutama untuk startup yang memecahkan masalah keamanan siber yang lebih luas.

Beberapa investor mengatakan peretasan dapat memperlambat adopsi DeFi dalam jangka pendek, tetapi tidak mungkin menghentikan pergerakan yang lebih luas menuju keuangan onchain. Praneeth Srikanti, technical investment partner di Ethereal Ventures, mengatakan institusi tidak memerlukan DeFi yang bebas risiko. Menurutnya, mereka membutuhkan risiko yang "terukur, terbatas, diatur, dilaporkan, diperbaiki, dan, jika memungkinkan, ditransfer." Itu bisa berarti lebih banyak modal bergerak menuju permissioned pools.

Hadick mengatakan biaya sebenarnya adalah bahwa peretasan ini menunda percakapan DeFi institusional selama 6 hingga 12 bulan lagi dan memberikan tim kepatuhan "lebih banyak amunisi untuk terus mengatakan tidak, tetapi jangan berharap itu memiliki dampak berarti jangka panjang" karena masalah keamanan tidak hanya terbatas pada kripto. "Lihat peretasan Vercel yang terjadi hanya beberapa minggu yang lalu — itu mungkin kesepakatan terbesar yang kita alami dalam beberapa tahun," tambahnya.

Hadick lebih lanjut mengatakan bahwa modal institusional yang benar-benar bergerak onchain akan mengalir ke stablecoin, tokenized treasuries, aset dunia nyata lainnya atau RWA vaults, serta tempat-tempat yang diizinkan dan/atau terisolasi, mencatat bahwa bagian pasar tersebut akan terus tumbuh karena teknologinya jauh lebih baik.

Khususnya, setelah eksploitasi KelpDAO, industri DeFi mengkoordinasikan dukungan yang dijanjikan senilai lebih dari $300 juta melalui dana DeFi United, membantu membatasi kerusakan yang lebih luas. Beberapa investor mengatakan itu menunjukkan bahwa DeFi telah matang dan dapat merespons di bawah tekanan. Namun mereka juga mengatakan industri tidak dapat mengandalkan penyelamatan darurat setiap kali terjadi masalah. "DeFi United sebagian besar merupakan tindakan kepentingan diri sendiri," kata Samantha Bohbot, mitra dan chief growth officer di RockawayX. "Para peserta memahami bahwa tanpa upaya pemulihan, kerusakan reputasi dan penularan agunan akan merugikan mereka jauh lebih besar daripada bailout itu sendiri. Ini menandakan kematangan tertentu dalam ekosistem, tetapi tidak boleh disalahartikan sebagai altruisme."

Tekanan tingkat dana

Salah satu dampak terbesar mungkin pada dana itu sendiri. Untuk dana ventura dan ekuitas, dampak langsung seringkali terbatas kecuali jika perusahaan portofolio terkait erat dengan protokol yang terpengaruh. Namun dana likuid dan dana berbasis imbal hasil lebih langsung terekspos karena mereka sering memegang token DeFi, menggunakan pasar pinjaman, atau menjalankan strategi imbal hasil onchain. Hadick mengatakan peretasan terbaru membuat penggalangan dana "sangat sulit" bagi dana likuid yang perlu berada onchain dan memperdagangkan aset volatil. Ia menambahkan bahwa dana imbal hasil sudah berjuang untuk menemukan imbal hasil onchain yang baik, sementara dana likuid telah menderita sejak 10 Oktober.

Pai dari Robot Ventures dan Zhan dari Tribe Capital mengatakan perusahaan mereka tidak terpengaruh oleh peretasan baru-baru ini. Bohbot dari RockawayX mengatakan perusahaannya tidak memiliki eksposur langsung terhadap protokol Drift, Kelp, atau Resolv. Ia mengatakan dampak tidak langsung datang melalui perubahan tingkat deposito dan pinjaman, tetapi tidak ada "efek material" pada kinerja dana. Klocanas dari Strobe Ventures juga mengatakan perusahaannya tidak memiliki eksposur markdown langsung karena tidak memiliki perusahaan portofolio dengan total nilai terkunci, pendapatan, atau aktivitas pengguna yang signifikan yang terkait dengan protokol yang terpengaruh.

Mathijs van Esch, general partner di Maven 11, mengatakan aset likuid perusahaan "mungkin terkena dampak" karena token kripto bereaksi terhadap peretasan dan eksploitasi, dan bahwa ini kemungkinan telah memengaruhi portofolio di seluruh ruang. Ia menambahkan bahwa ini juga dapat terjadi dalam pergerakan pasar yang lebih luas.

Hajian dari Keyrock mengatakan dampak dana secara keseluruhan mungkin membutuhkan waktu untuk terlihat publik. Ia mencatat bahwa belum ada dana likuid besar yang mengungkapkan markdown yang terkait secara khusus dengan Drift atau Kelp dalam surat dana, sebagian karena surat Q2 umumnya diharapkan sekitar pertengahan Juli. Namun ia mengatakan mekanisme tersebut sudah jelas dan datang dalam beberapa lapisan.

Lapisan pertama Hajian adalah markdown agunan langsung. Dana apa pun yang memegang rsETH selama eksploitasi Kelp harus memutuskan apakah akan menurunkannya ke harga pasar yang lebih rendah atau mendekati nilai par jika diyakini pemulihan DeFi United akan berhasil, kata Hajian. Ia menambahkan bahwa kedua pilihan tersebut dapat dipertahankan, tetapi masing-masing memiliki konsekuensi. Dana tanpa eksposur rsETH langsung masih dapat terkena dampak melalui posisi Pendle PT-rsETH, posisi penyedia likuiditas Curve, atau strategi restaking likuid terstruktur. Ia mengatakan bagian dari penularan ini seringkali kurang dilaporkan. Sebuah dana dapat memiliki nol eksposur langsung ke aset yang diretas dan masih mengalami markdown 5% hingga 15% pada suatu strategi karena risiko yang melekat tersebut, tambahnya.

Hajian mengatakan lapisan tekanan kedua datang melalui pasar pinjaman dan strategi imbal hasil. Setelah insiden Kelp, Aave melihat hampir $8,5 miliar dalam arus keluar, suku bunga pinjaman melonjak, dan biaya pinjaman stablecoin naik tajam. "Dana imbal hasil yang menjalankan strategi delta-netral yang bergantung pada biaya pinjaman yang stabil mengalami kerugian mark-to-market pada sisi pendanaan meskipun agunan mereka tidak tersentuh," katanya.

Lapisan ketiga Hajian adalah likuiditas dan "pembatasan penarikan" (gating). Dana likuid yang menerbitkan nilai aset bersih harian atau mingguan menghadapi tantangan nyata ketika agunan dasar terganggu dan pemulihan bergantung pada upaya penyelamatan multi-minggu, katanya. Dana imbal hasil yang menawarkan penebusan bulanan mungkin perlu memutuskan apakah akan melakukan gating, side-pocket, atau sepenuhnya menyerap markdown, dan setiap opsi menciptakan masalah LP yang berbeda, katanya. Lapisan keempat adalah pada pihak lawan (counterparties) dan jalur kredit. Hajian mengatakan broker utama dan meja over-the-counter "tidak menarik jalur kredit secara massal," tetapi eksposur baru memang mengencang. Dana yang bergantung pada jalur kredit tersebut untuk strategi restaking terstruktur mereka harus mendeleverage dengan harga yang tidak menguntungkan atau menerima persyaratan yang secara material lebih buruk, menurut Hajian. "Itu adalah pukulan langsung pada pengembalian bersih bahkan di mana agunan utama tidak banyak bergerak," katanya.

Mengenai perusahaan Keyrock secara khusus, Hajian mengatakan bisnis intinya adalah market making, OTC, dan penyediaan likuiditas "bukan dana imbal hasil terarah yang digabungkan," dan kerangka kerja risiko operasional yang dijalankan perusahaan untuk neraca keuangannya sendiri berbeda jenisnya dari dana imbal hasil likuid yang biasa. "Implikasi portofolio yang telah saya jelaskan di atas paling akut untuk dana yang produknya secara eksplisit adalah imbal hasil asli DeFi, dan itulah strategi di mana saya akan mengharapkan markdown dan perubahan pelaporan yang paling terlihat dalam surat LP Q2," kata Hajian.

Untuk berlangganan buletin gratis The Funding, klik di sini.