Paradex kembali diserang hacker: 57 kunci bocor mengapa tidak ada dana yang dicuri

去中心化衍生品平台Paradex在短短两天内经历了两次重大安全事件。继1月19日系统故障导致比特币价格显示为零后，平台今日确认接入的Mithril交易机器人遭遇黑客攻击，约57名用户的子密钥被泄露。但与预期的灾难不同，这次事件最终没有造成用户资金损失。关键在于权限设计：被泄露的子密钥仅能用于交易执行，无法触碰用户的钱包余额。

密钥泄露但资金为何安全

攻击的实际影响范围

Menurut pengungkapan resmi Paradex, peretas mengakses sistem internal Mithril, menyebabkan sekitar 57 pengguna kunci anak mereka bocor. Tetapi perlu ditegaskan satu detail penting: yang bocor bukan kunci utama pengguna, melainkan “kunci anak” yang khusus digunakan untuk eksekusi transaksi.

Desain pembagian hak akses ini sangat penting. Paradex menjelaskan bahwa kunci anak ini dirancang sebagai “izin terbatas”, dengan batasan sebagai berikut:

• Operasi yang dapat dilakukan: memasang order, menyesuaikan posisi, menutup posisi
• Operasi yang tidak dapat dilakukan: menarik dana, mentransfer saldo, mengubah pengaturan akun

Ini berarti meskipun penyerang mendapatkan kunci tersebut, mereka hanya bisa melakukan transaksi dalam akun pengguna, tanpa bisa menarik dana keluar. Struktur hak akses berlapis ini berfungsi sebagai firewall di saat kritis.

Respon Darurat Paradex

Setelah menemukan anomali, Paradex mengambil langkah cepat:

• Segera menghentikan transfer terkait XP
• Membatalkan semua kunci anak yang terikat dengan Mithril
• Memutus akses dari robot yang disusupi
• Mengimbau pengguna untuk memeriksa dan membersihkan alat eksternal yang telah diberi otorisasi

Dari segi kecepatan respons, platform ini berhasil menghindari risiko yang lebih besar.

Risiko sistemik di balik dua kejadian

Masalah beruntun dalam waktu singkat

Lebih menarik lagi, Paradex mengalami dua kejadian besar dalam 48 jam:

Kedua kejadian ini meskipun berbeda sifatnya, sama-sama menunjukkan satu masalah utama: manajemen risiko dalam ekosistem perdagangan otomatis DeFi masih lemah.

Pedang bermata dua alat otomatisasi DeFi

Peristiwa ini kembali mengingatkan pasar bahwa alat otomatisasi pihak ketiga meskipun meningkatkan efisiensi transaksi, tidak tanpa risiko. Risiko tersebut meliputi:

• Risiko teknis: pemeliharaan platform, gangguan sistem yang dapat menyebabkan likuidasi tidak normal
• Risiko keamanan: robot pihak ketiga sendiri bisa menjadi target serangan
• Risiko hak akses: pemberian izin berlebihan bisa berakibat bencana

Paradex mampu melewati ini dengan aman karena desain hak akses yang tepat. Tapi tidak semua platform memiliki perlindungan seperti ini.

Pelajaran untuk pengguna dan pasar

Saran untuk pengguna

• Secara rutin tinjau alat eksternal yang diberi otorisasi, hanya simpan koneksi yang diperlukan dan terpercaya
• Prioritaskan platform dan alat yang menerapkan desain hak akses berlapis
• Perhatikan catatan keamanan platform dan kemampuan respons darurat
• Jangan terlalu bergantung pada satu alat otomatisasi saja

Pemikiran untuk pasar

Kedua kejadian ini menunjukkan bahwa ekosistem perdagangan otomatis DeFi masih perlu memperbaiki standar keamanan. Beberapa pengguna mengapresiasi respons cepat Paradex, tetapi ada juga yang berpendapat bahwa respons cepat saja tidak cukup, perlu penguatan desain sistem dan pengendalian risiko secara mendasar.

Kesimpulan

Insiden peretasan Paradex ini berakhir tanpa kerugian besar, tetapi pelajaran dari kejadian ini tidak boleh diabaikan. Meskipun desain hak akses yang tepat mencegah kerugian dana, dua kejadian besar dalam waktu singkat menunjukkan bahwa ada ruang untuk perbaikan dalam pengelolaan teknis dan keamanan platform. Bagi trader, keseimbangan antara kemudahan dan keamanan menjadi semakin penting. Memilih alat otomatisasi tidak hanya berdasarkan fungsi, tetapi juga memperhatikan desain hak akses platform, catatan keamanan, dan kemampuan pengendalian risiko. Pengembangan DeFi membutuhkan kenyamanan, tetapi yang lebih penting adalah keandalan.