Eksploit Aztec Connect Menunjukkan Mengapa Kontrak DeFi Lama Masih Bisa Berbahaya

Sebuah kontrak Aztec Connect lama telah kembali menyoroti risiko DeFi yang sudah dikenal: infrastruktur yang ditinggalkan tidak berhenti menjadi berbahaya hanya karena sebuah produk sudah tidak aktif.

TL;DR

• Sebuah kontrak Aztec Connect yang sudah usang dilaporkan dieksploitasi sekitar $2,1 juta.
• Masalah ini menyoroti problem DeFi yang terus berulang: kontrak lama bisa tetap aktif bahkan setelah sebuah produk ditutup.
• Pelajaran yang lebih besar adalah bahwa penutupan memerlukan manajemen risiko yang aktif, bukan sekadar pesan yang meminta pengguna untuk pergi.

Masalah dengan "Deprecated"

Sebuah postingan peneliti keamanan mengungkap kemungkinan eksploitasi yang memengaruhi Aztec Connect, dengan sekitar $2,1 juta dilaporkan ditransfer dari sebuah smart contract yang tidak dapat diubah. Detail ini masih perlu ditangani dengan hati-hati karena sumber pertama adalah pengungkapan peneliti, bukan post-mortem lengkap. Namun masalah besarnya sudah cukup jelas: kontrak DeFi lama bisa tetap aktif, memiliki dana, dan dapat diserang jauh setelah sebagian besar pengguna berhenti memikirkannya.

Dalam perangkat lunak biasa, produk yang sudah usang biasanya menghilang begitu saja. Pengguna berhenti mengunduhnya, perusahaan berhenti mendukungnya, dan akhirnya menghilang ke latar belakang.

DeFi tidak bekerja seperti itu. Sebuah smart contract bisa tetap berada di on-chain tanpa batas waktu. Jika menyimpan dana atau memiliki jalur menuju dana, kontrak tersebut masih bisa menjadi target. Front end mungkin sudah hilang. Tim mungkin sudah beralih. Dokumentasi mungkin meminta pengguna untuk menarik dana. Tidak ada yang peduli dengan semua itu bagi penyerang yang melihat kontrak itu sendiri.

Immutability Bagai Pedang Bermata Dua

Kasus Aztec Connect sangat mengkhawatirkan karena kontrak tersebut digambarkan sebagai immutable. Dalam DeFi, immutability sering dianggap sebagai fitur. Artinya pengguna tidak perlu mempercayai tim untuk menghindari perubahan aturan di kemudian hari.

Namun immutability juga menghilangkan opsi darurat.

Jika sebuah kontrak yang aktif memiliki masalah dan tidak ada lagi kontrol admin yang tersisa, tim mungkin tidak dapat menjedanya, memperbaruinya, atau menambalnya. Hal itu dapat membuat pengguna bergantung pada apakah dana sudah ditarik dan apakah nilai yang tersisa dapat dilindungi melalui cara lain.

Inilah trade-off yang masih diperjuangkan DeFi. Kemampuan upgrade menciptakan risiko kepercayaan dan tata kelola. Immutability menciptakan risiko respons.

Kontrak Lama Membutuhkan Rencana Penutupan yang Nyata

Pelajaran di sini bukan sekadar "kontrak lama itu buruk." Pelajarannya adalah bahwa penutupan perlu diperlakukan seperti peristiwa keamanan.

Penutupan yang bertanggung jawab harus mencakup peringatan pengguna yang berulang, tenggat waktu penarikan jika memungkinkan, pemantauan setelah penutupan, dokumentasi yang jelas, dan komunikasi risiko publik. Jika dana yang signifikan masih ada di kontrak lama, tim perlu mengasumsikan bahwa penyerang masih mengawasi.

Hal itu terutama berlaku untuk sistem privasi, bridge, rollup, dan lintas-chain, di mana logika kontrak bisa lebih kompleks dan mode kegagalannya kurang jelas bagi pengguna biasa.

Apa yang Bisa Dipetik Pengguna dari Ini

Bagi pengguna, aturannya sederhana: jangan biarkan dana terparkir di kontrak yang sudah usang kecuali ada alasan yang sangat jelas.

Jika sebuah protokol meminta pengguna untuk menarik dana, tanggapi hal itu dengan serius. Jika front end ditutup, jangan berasumsi bahwa risikonya sudah berakhir. Jika sebuah kontrak sudah tua, tidak diaudit dalam kondisi saat ini, atau tidak lagi dipantau, mungkin lebih aman untuk memperlakukannya sebagai infrastruktur yang berbahaya.

Insiden Aztec Connect adalah pengingat lain bahwa risiko DeFi memiliki ekor yang panjang. Produk dapat menghilang dari pembicaraan pasar sementara kontrak mereka tetap berada di on-chain, menunggu seseorang menemukan kelemahan berikutnya.

Sumber

• Pengungkapan peneliti keamanan
• Situs resmi Aztec