Sebuah pelanggaran keamanan besar telah mempengaruhi ekosistem blockchain Sui dengan penyerang menyedot dana sekitar $200 juta dari kolam likuiditas di Cetus, bursa terdesentralisasi terbesar di jaringan tersebut.
Eksploitasi ini menyebabkan kerugian luas di puluhan token di jaringan Sui, memicu kekhawatiran tentang keamanan mekanisme harga berbasis oracle di platform Layer 1 yang sedang berkembang.
Serangan ini memicu penjualan tajam di banyak token berbasis Sui. Koin meme termasuk Lofi (LOFI), Sudeng (HIPPO), dan Squirtle (SQUIRT) mengalami erosi nilai hampir total, dengan kerugian antara 76% dan 97% dalam waktu kurang dari satu jam. Token Cetus sendiri turun sebesar 53%. Analitik on-chain dari DEX Screener menunjukkan bahwa 46 token Sui mencatat kerugian dua digit dalam periode 24 jam setelah insiden.
Meskipun ada penurunan tajam dalam harga token dan kerentanan infrastruktur kunci, token SUI asli menunjukkan ketahanan, naik 2,2% dalam jangka waktu yang sama, mungkin didorong pembelian di dasar atau momentum pasar yang lebih luas.
Menurut perusahaan keamanan blockchain Cyvers, para penyerang melaksanakan strategi manipulasi oracle yang canggih. Memanfaatkan kelemahan dalam kontrak pintar Cetus, mereka memperkenalkan token palsu yang dirancang untuk menyalahartikan cadangan kolam likuiditas dan mengubah jalur harga.
"Eksploitasi ini mengandalkan token palsu yang menciptakan data harga menyesatkan dalam kolam pembuat pasar otomatis (AMM) DEX," kata Deddy Lavid, CEO Cyvers. "Manipulasi ini memungkinkan penyerang untuk mengekstrak aset sah seperti SUI dan USDC dari berbagai kolam likuiditas."
Insiden ini menyoroti risiko yang diketahui dalam keuangan terdesentralisasi (DeFi): ketergantungan pada oracle on-chain untuk menyediakan data harga. Dalam kasus ini, penyerang dapat memanipulasi kurva harga internal tanpa bergantung pada oracle feed harga tradisional seperti Chainlink, menyarankan adanya kerentanan arsitektur yang lebih dalam.
Pergerakan Antar-Rantai: Mencuci Dana
Pasca-eksploitasi, penyerang mulai menggerakkan dana yang dicuri. Data blockchain mengungkapkan bahwa sekitar $61,5 juta dalam USDC dengan cepat dijembatani ke Ethereum. Sebanyak $164 juta lainnya tetap disimpan di dompet berbasis Sui. Hingga publikasi, tidak ada aset yang berhasil dipulihkan, dan para penyelidik on-chain terus memantau pergerakan dana.
Konversi aset curian menjadi USDC menyoroti pentingnya stablecoin dalam operasi pencucian. Ini juga menghidupkan kembali kritik terhadap penerbit stablecoin seperti Circle dan Tether atas lambatnya respons dalam membekukan dana yang diperoleh secara tidak sah.
Penerbit Stablecoin Dituding
Pengawas industri, termasuk ZachXBT dan Cyvers, telah menyuarakan keprihatinan atas lambatnya respons oleh penerbit USDC Circle. Pada bulan Februari, Circle membutuhkan waktu lebih dari lima jam untuk membekukan dana terkait dengan eksploitasi Bybit, keterlambatan yang diyakini para ahli memberikan waktu pelarian kritis bagi penyerang. Tether menghadapi pengawasan serupa atas persepsi penundaan dalam membekukan akun berbahaya.
"Kami telah mengeluarkan peringatan real-time dalam banyak peretasan, termasuk ini, namun respons dari penerbit seringkali datang terlambat," kata Lavid. "Kelambatan ini menciptakan celah yang dapat dieksploitasi yang membuat intervensi post-mortem menjadi tidak berarti."
Kritik yang meningkat ini mendorong percakapan baru tentang alternatif desentralisasi untuk stablecoin dan kebutuhan akan mekanisme pembekuan otomatis yang dapat mengurangi latensi manusia dalam keadaan darurat.
Tanggapan Protokol dan Investigasi
Cetus bergerak cepat untuk menghentikan kontrak pintar mereka setelah mendeteksi serangan. Protokol tersebut secara publik mengakui "insiden" ini melalui media sosial dan mengumumkan bahwa tim internal mereka sedang melakukan investigasi forensik.
Pesan internal yang bocor dari Discord Cetus menunjukkan bahwa akar dari eksploitasi mungkin adalah bug dalam logika oracle mereka. Namun, pengamat di media sosial menyatakan skeptisisme, mencatat bahwa kerentanan dalam logika AMM dan arsitektur kolam likuiditas sering kali dapat menyamar sebagai masalah oracle.
"Ini bukanlah bug harga oracle dalam pengertian tradisional," kata seorang pengembang DeFi yang meminta anonim. "Ini adalah masalah sistemik dengan cara beberapa DEX menghitung harga token internal dalam kolam yang diperdagangkan tipis."
Implikasi untuk Ekosistem Sui yang Lebih Luas
Sui, sebuah blockchain Layer 1 yang dikembangkan oleh mantan insinyur Meta, telah memposisikan dirinya sebagai alternatif berkinerja tinggi untuk Ethereum. Diluncurkan dengan semangat besar dan telah mendapatkan daya tarik di kalangan pengembang untuk bahasa pemrogramannya Move dan model eksekusi transaksi paralel.
Namun, eksploitasi ini sekarang menimbulkan pertanyaan tentang kematangan stack DeFi-nya. Meskipun protokol dasar Sui tidak dikompromikan, serangan ini menekankan bagaimana kerentanan dalam aplikasi kritis seperti DEX dapat menimbulkan risiko sistemik bagi rantai yang lebih baru.
Fakta bahwa harga token jatuh begitu tajam juga menunjukkan likuiditas terbatas dan eksposur ritel tinggi, ciri khas ekosistem yang belum matang. Pemulihan dapat bergantung pada seberapa cepat Cetus dan peserta ekosistem lainnya dapat memulihkan kepercayaan dan likuiditas.
Reaksi Komunitas dan Industri
Mantan CEO Binance Changpeng Zhao (CZ) mengakui eksploitasi ini di media sosial, mengatakan bahwa timnya "melakukan apa yang mereka bisa untuk membantu Sui." Meskipun komentarnya kurang detail, ini menunjukkan Binance mungkin membantu dengan pemantauan atau upaya pemulihan.
Reaksi industri yang lebih luas berfokus pada bahaya pertumbuhan DeFi yang tidak terkontrol tanpa investasi keamanan yang sesuai. Analis mencatat bahwa upaya untuk menarik likuiditas dan volume pengguna sering kali menyebabkan penerapan kontrak pintar yang tidak diaudit atau diaudit ringan.
"Ini bukan hanya masalah Sui atau Cetus," kata seorang eksekutif industri. "Ini adalah pola berulang di setiap gelombang Layer 1 dan DeFi - inovasi bergerak lebih cepat dari keamanan, dan pengguna membayar harga."
Konsekuensi Regulasi dan Jangka Panjang
Eksploitasi ini kemungkinan akan memicu kembali pengawasan regulasi seputar jembatan silang institusi, protokol DeFi, dan operasi stablecoin. Ketika badan regulasi global terus menyusun kerangka kerja baru untuk crypto, insiden profil tinggi seperti ini memberikan justifikasi untuk pengawasan yang lebih ketat.
Ini juga membangkitkan kembali pertanyaan tentang asuransi dan perlindungan pengguna di DeFi. Dengan tidak adanya tindakan jelas bagi pengguna yang terdampak oleh eksploitasi, tekanan mungkin meningkat pada protokol untuk mengadopsi mekanisme asuransi on-chain atau berkontribusi pada dana pemulihan yang terdesentralisasi.
Beberapa analis berpendapat bahwa insiden semacam ini dapat mempercepat pergeseran menuju appchains dan ekosistem DeFi yang lebih terintegrasi secara vertikal, di mana keamanan dan infrastruktur oracle lebih terkendali.
Pola yang Dikenal di DeFi
Manipulasi oracle tetap menjadi salah satu vektor serangan paling gigih di DeFi. Eksploitasi serupa telah digunakan untuk menguras jutaan dari protokol di Ethereum, BNB Chain, Avalanche, dan Solana. Metodenya bervariasi, tetapi prinsipnya tetap sama: memanipulasi mekanisme penemuan harga untuk mengekstraksi nilai.
Eksploitasi ini menekankan kebutuhan akan sistem oracle yang lebih kuat, termasuk model hibrida yang menggabungkan data on-chain dan off-chain, mekanisme pembatas laju untuk mencegah manipulasi, dan adopsi lebih luas dari pemutus sirkuit yang dapat menghentikan operasi ketika anomali harga terdeteksi.
Pikiran Akhir
Bagi Sui, beberapa minggu ke depan akan menjadi krusial. Bagaimana Cetus dan pemain ekosistem besar lainnya merespons kemungkinan akan menentukan apakah kepercayaan pengembang dan pengguna dapat dibangun kembali. Jika likuiditas tetap rendah dan proyek besar menghentikan pengembangan, rantai ini berisiko kehilangan momentum tepat saat kompetisi semakin ketat dari Layer 1 lainnya.
Sementara itu, komunitas DeFi yang lebih luas diingatkan lagi bahwa sistem tanpa izin menuntut tidak hanya inovasi tetapi juga disiplin - terutama ketika datang ke desain kontrak pintar, keamanan oracle, dan koordinasi respons insiden.
Serangan Sui mungkin bukan eksploitasi terkait oracle terakhir pada tahun 2025. Namun, jika industri ini serius tentang penskalaan secara aman, ia harus berhenti memperlakukan keamanan sebagai pemikiran kedua dan mulai mengembedkannya sebagai prinsip desain inti sejak awal.