Serangan Pinjaman Kilat Terarah Mengungkap Garis-Garis Kritis dalam Likuiditas Stablecoin

Eksploitasi DUSD senilai $4,2 juta adalah serangan pinjaman kilat yang sangat terfokus yang memanipulasi asumsi harga jangka pendek, menguras satu kolam Curve tanpa mengorbankan sistem stablecoin yang lebih luas.

Insiden ini menyoroti kerentanan DeFi yang berulang di mana kedalaman likuiditas dan ketergantungan oracle dapat menjadi liabilitas di bawah ketidakseimbangan modal yang ekstrem dan singkat.

Sementara penanganan cepat Makina membatasi penularan, kejadian ini memperkuat bahwa risiko LP di kolam stablecoin secara struktural berbeda dari risiko memegang token sederhana.

Serangan pinjaman kilat yang ditargetkan pada kolam DUSD/USDC Curve Makina menunjukkan bagaimana likuiditas stablecoin, desain oracle, dan likuiditas kilat dapat bergabung untuk menciptakan risiko terkonsentrasi bagi LP.

KEJADIAN

Pada dini hari 20 Januari, serangan pinjaman kilat yang sangat terfokus menguras sekitar $280 juta dari kolam likuiditas DUSD/USDC di Curve, menandai salah satu eksploitasi stablecoin paling tepat secara teknis pada awal 2026 dan menegaskan bahwa komposabilitas, meskipun kuat, terus menciptakan permukaan serangan ketika ketergantungan oracle dan asumsi likuiditas tidak selaras secara sempurna.

DUSD, stablecoin multi-chain yang diterbitkan oleh Makina Finance, tidak diserang melalui mekanisme pencetakan–penebusan intinya tetapi melalui satu venue likuiditas, di mana penyerang meminjam sekitar $129 juta USDC melalui pinjaman kilat, sementara waktu mendistorsi input harga yang merujuk oracle, meningkatkan nilai tampak dari posisi likuiditas, dan mengekstrak aset yang tersedia dari kolam sebelum sistem dapat menyeimbangkan kembali, akhirnya berjalan pergi dengan dana setara sekitar 1.299 ETH pada saat eksploitasi.

Yang penting, insiden ini tidak mengompromikan pasokan DUSD secara luas atau pengguna yang hanya memegang DUSD, posisi Pendle, atau eksposur Gearbox, sebuah perbedaan yang ditekankan Makina dalam komunikasi pasca-insiden, namun kecepatan dan ketepatan drainase membuat jelas bahwa bahkan kolam yang terisolasi dengan baik dapat menjadi titik kegagalan tunggal ketika konsentrasi modal, latensi oracle, dan likuiditas kilat bertemu.

BAGAIMANA SERANGAN BERJALAN

Secara teknis, eksploitasi mengikuti pola yang semakin dikenal oleh peneliti keamanan DeFi, tetapi dengan eksekusi yang disempurnakan untuk target yang sempit: dengan menyuntikkan jumlah USDC yang besar dan singkat ke dalam kolam DUSD/USDC Curve, penyerang mampu memanipulasi asumsi harga yang diandalkan oleh logika hilir, menciptakan ilusi likuiditas berlebih dan memungkinkan arbitrase yang menguntungkan dalam satu bundel transaksi.

Karena pinjaman kilat tidak memerlukan modal awal dan harus dilunasi dalam blok yang sama, penyerang menanggung risiko arah minimal, melainkan mengeksploitasi distorsi harga temporer, sebuah kelas kerentanan yang berulang muncul di DeFi ketika kolam bergantung pada feed harga yang dapat diselewengkan oleh ketidakseimbangan jangka pendek daripada penggabungan sumber multi-waktu.

Hasilnya bukanlah keruntuhan sistemik tetapi ekstraksi bersih: sekitar $5,1 juta dalam setara USDC, seperti yang diungkapkan Makina kemudian, disedot dari kolam, meninggalkan penyedia likuiditas sepenuhnya terekspos sementara infrastruktur protokol yang lebih luas tetap utuh.

PENANGANAN DAN TINDAKAN

Respons Makina menonjol karena kecepatan dan cakupannya, mencerminkan pelajaran yang dipetik dari krisis DeFi sebelumnya: tim segera mengonfirmasi bahwa eksploitasi terbatas pada kolam DUSD/USDC di Curve, melakukan snapshot saldo penyedia likuiditas sebelum serangan, dan mengaktifkan mode pemulihan yang memungkinkan LP yang terkena dampak untuk menarik dana secara sepihak ke DUSD sementara opsi perbaikan jangka panjang dievaluasi.

Dalam pernyataan publik yang dirilis pada 21 Januari, Makina menunjukkan bahwa mereka telah mengidentifikasi petunjuk terkait identitas on-chain penyerang dan sedang aktif berusaha untuk berinteraksi, sekaligus berkomitmen untuk membuka kembali fungsi penebusan dan menyediakan jalur keluar alternatif bagi penyedia likuiditas setelah perlindungan diterapkan, sebuah strategi yang bertujuan mencegah penularan panik di venue lain.

Pendekatan ini sangat berbeda dari insiden DeFi sebelumnya di mana komunikasi yang tertunda dan cakupan yang tidak jelas memperbesar kerugian, dan ini menyoroti bagaimana kedewasaan operasional—bukan pencegahan eksploitasi mutlak—telah menjadi pembeda utama di antara protokol yang mengelola infrastruktur stablecoin.

ISyarat Pasar dan Ingatan Likuiditas

Yang membuat episode DUSD ini sangat instructive adalah kontras antara eksploitasi dan narasi likuiditas DUSD sebelumnya: hanya beberapa bulan sebelumnya, pada September 2025, pasangan DUSD/USDT di PancakeSwap menduduki peringkat TVL platform di $439 juta, dengan volume 24 jam sebesar $82,11 juta dan juta selama tujuh hari, menempatkan DUSD sebagai salah satu pasangan stablecoin yang paling aktif digunakan dalam ekosistem perdagangan tertentu.

Konteks historis ini penting, karena menggambarkan bagaimana kedalaman likuiditas, meskipun sering diartikan sebagai tanda stabilitas, juga dapat menjadi magnet untuk serangan presisi ketika modal cukup terkonsentrasi dan insentif ekonomi selaras, terutama di kolam di mana parity stablecoin diasumsikan daripada diuji stres secara terus-menerus.

Dalam pengertian ini, eksploitasi tidak membatalkan DUSD sebagai stablecoin, tetapi memperkuat pelajaran DeFi yang berulang: likuiditas tidak identik dengan keamanan, dan kolam yang tampaknya paling tahan banting di bawah kondisi normal bisa menjadi target optimal di bawah kondisi adversarial.

PELAJARAN STABLECOIN YANG LEBIH LUAS

Selain kerugian langsung, serangan pinjaman kilat DUSD berbicara tentang tantangan struktural yang dihadapi stablecoin on-chain saat mereka berkembang di berbagai chain dan protokol: sementara komposabilitas memungkinkan pertumbuhan cepat dan efisiensi modal, hal ini juga menciptakan grafik ketergantungan yang kompleks di mana kegagalan lokal dapat menghasilkan hasil yang tidak proporsional bagi kelompok pengguna tertentu.

Seiring regulator, institusi, dan penyedia infrastruktur semakin menyoroti stablecoin bukan hanya sebagai instrumen tetapi sebagai lapisan pembayaran dan penyelesaian, insiden seperti ini mempertegas perbedaan antara solvabilitas protokol dan risiko tingkat venue, sebuah nuansa yang sering diabaikan pengguna yang mengejar hasil di kolam likuiditas tanpa memperhitungkan secara penuh desain oracle, mekanisme penarikan, atau skenario stres adversarial.

Fakta bahwa pemegang DUSD di luar kolam yang terdampak tetap tidak terluka mungkin akhirnya menguntungkan Makina, tetapi episode ini memperkuat bahwa fase berikutnya dari stabilitas DeFi akan bergantung lebih sedikit pada angka TVL utama dan lebih banyak pada bagaimana protokol merancang titik lemah mereka, terutama di mana likuiditas kilat dan penemuan harga bertabrakan.

Baca Lebih Lanjut：

Apa Itu Pinjaman Kilat? Panduan Pemula

Dari Pinjaman Kilat ke Bank Global: Kisah Aave

〈Serangan Pinjaman Kilat yang Terfokus Mengungkap Garis-Garis Kritis dalam Likuiditas Stablecoin〉 artikel ini pertama kali dipublikasikan di 《CoinRank》.