Platform keuangan terdesentralisasi Moonwell mengalami eksploitasi senilai $1 juta pada 4 November 2025, mengekspos kerentanan kritikal dalam cara protokol DeFi mengandalkan data harga eksternal. Serangan ini menargetkan operasi protokol peminjaman pada jaringan Base dan Optimism, menguras dana melalui eksploitasi pinjaman cepat yang cerdas yang memanipulasi umpan harga oracle.
Insiden ini terjadi ketika perusahaan keamanan blockchain BlockSec mendeteksi transaksi mencurigakan yang menargetkan kontrak pintar Moonwell. Menurut analisis mereka, penyerang mengeksploitasi umpan oracle rsETH/ETH yang salah yang secara keliru melaporkan harga wrapped restaked ETH (wrstETH) sekitar $5,8 juta per token - penilaian berlebihan besar dibandingkan dengan harga pasar sebenarnya yang kurang dari $3.500 untuk ETH yang mendasari.
Dengan kesalahan harga ini, peretas melakukan serangan pinjaman cepat berulang yang memungkinkan mereka untuk meminjam jumlah besar cryptocurrency dengan jaminan minim. Perusahaan keamanan CertiK melaporkan bahwa penyerang "dapat meminjam lebih dari 20 wstETH berulang kali dengan hanya ~0,02 wrstETH yang dipinjamkan dengan cepat dan disetor" karena kerusakan oracle.
Eksploitasi ini akhirnya menghasilkan keuntungan bagi penyerang sekitar 295 ETH, yang bernilai sekitar $1 juta.
Pola Kerentanan
Pelanggaran terbaru ini merupakan insiden keamanan besar keempat bagi Moonwell dalam tiga tahun terakhir, menimbulkan pertanyaan serius tentang infrastruktur keamanan protokol. Platform ini sebelumnya kehilangan $1,7 juta pada Oktober 2025 selama crash pasar yang dipicu oleh pengumuman tarif, ketika kesenjangan harga oracle-DEX memungkinkan penyerang mengeksploitasi mekanisme likuidasi.
Pada Desember 2024, Moonwell mengalami serangan pinjaman cepat senilai $320,000 yang menargetkan kontrak pinjaman USDC, di mana kontrak berbahaya yang menyamar sebagai "mToken" memberikan persetujuan token yang tidak sah. Penyerang menggunakan Tornado Cash untuk mendanai dompet dan cepat menukar USDC yang dicuri menjadi DAI sebelum pihak berwenang dapat merespons.
Protokol ini juga mengalami masalah terkait dengan insiden Nomad Bridge pada tahun 2022, meskipun dampak finansial yang tepat masih belum jelas. Catatan yang mengkhawatirkan ini mendorong auditor keamanan QuillAudits mencatat: "Hari lain, eksploitasi Moonwell lainnya. Insiden besar ke-4 dalam 3 tahun."
Dampak Pasar dan Kepercayaan Investor
Eksploitasi ini mengirimkan gelombang kejutan langsung melalui ekosistem Moonwell. Token WELL anjlok 13,5% dalam satu hari setelah berita serangan muncul, jauh lebih buruk daripada penurunan pasar cryptocurrency secara keseluruhan sebesar 3,95%. Pada 4 November, WELL diperdagangkan sekitar $0,0155, mewakili penurunan 51% selama sebulan terakhir dan memperpanjang kerugian dari tertinggi sepanjang masa hingga lebih dari 96%.
Waktu pembaruan ini terbukti sangat tidak menguntungkan bagi Moonwell, yang baru saja melaporkan pendapatan biaya yang memecahkan rekor pada Oktober, mendistribusikan $2,12 juta kepada pemberi pinjaman dan cadangan pada Base dan Optimism. Platform ini mengaitkan keberhasilan ini dengan "peningkatan permintaan pinjaman → tingkat yang lebih tinggi → lebih banyak pendapatan → lebih banyak WELL yang diperoleh dalam lelang cadangan setiap bulan." Namun, pelanggaran keamanan terbaru ini membayangi metrik positif ini dan menimbulkan kekhawatiran tentang aliran modal keluar dari protokol.
Menambah kegelisahan investor, Moonwell menghentikan program bug bounty-nya di Immunefi pada awal 2025, beberapa bulan sebelum serangan besar ini terjadi. Keputusan ini sekarang tampaknya meragukan mengingat kegagalan keamanan berikutnya.
Masalah Oracle di DeFi
Insiden Moonwell menyoroti tantangan mendasar yang dihadapi keuangan terdesentralisasi: ketergantungan pada sumber data eksternal yang disebut oracle. Sistem ini menyediakan kontrak pintar dengan informasi dunia nyata seperti harga aset, tetapi mereka memperkenalkan potensi titik kegagalan.
Dalam kasus ini, eksploitasi berasal dari kerentanan oracle di luar jaringan dalam umpan harga rsETH/ETH, yang mungkin disediakan oleh Chainlink. Analis keamanan mencatat konfigurasi oracle termasuk "interval detak jantung arkais dan ambang deviasi yang luas," memungkinkan deviasi harga signifikan sebelum memicu pembaruan.
Metode serangan itu sendiri canggih. Menggunakan pinjaman cepat - pinjaman tanpa jaminan yang harus dilunasi dalam satu transaksi - peretas menggembungkan nilai jaminan berdasarkan data oracle yang salah. Karena protokol menghargai deposit kecil 0,02 wrstETH lebih dari $116.000, penyerang dapat meminjam 20 wstETH per transaksi, menguras cadangan Moonwell melalui banyak operasi.
Analis blockchain percaya bahwa bot MEV (nilai maksimum yang dapat diekstraksi) mungkin terlibat dalam mengidentifikasi dan mengeksploitasi kerentanan, menyoroti bagaimana sistem perdagangan otomatis dapat dengan cepat memanfaatkan kelemahan protokol.
Krisis Keamanan DeFi yang Lebih Luas
Eksploitasi Moonwell terjadi di tengah periode yang sangat bergolak untuk keuangan terdesentralisasi. Hanya satu hari sebelumnya, pada 3 November, Balancer mengalami peretasan dahsyat senilai $128 juta yang mempengaruhi pool V2-nya di beberapa blockchain termasuk Ethereum, Berachain, Arbitrum, Base, Optimism, dan Polygon.
Serangan Balancer mengeksploitasi kerentanan kontrol akses yang salah dalam pool "boosted" dan fungsi "manageUserBalance" protokol, meskipun basis kode telah menjalani 11 audit keamanan terpisah sejak 2021. Kenyataan ini menunjukkan bahwa bahkan audit yang ekstensif tidak dapat menjamin keamanan protokol.
Selain itu, Berachain, blockchain Layer 1 yang kompatibel dengan Ethereum, mengalami eksploitasi yang terkait dengan tripool Ethena/Honey. Yayasan Berachain sementara menghentikan jaringannya untuk mencegah kerusakan lebih lanjut, dengan Chief Smokey Officer Smokey The Bera menjelaskan: "Ketika sekitar $12 juta dana pengguna berada dalam risiko... kami mencoba mengoordinasikan set validator untuk melindungi pengguna tersebut."
Bersama-sama, ketiga insiden ini pada awal November 2025 menghilangkan setidaknya $222 juta dari protokol DeFi, menurut The Block, mengungkapkan sifat yang sangat saling terkait dari sistem likuiditas dan jaminan di seluruh jaringan blockchain.
Pemikiran Akhir
Meskipun data PeckShield menunjukkan bahwa kerugian dari peretasan DeFi turun 85,7% pada Oktober menjadi $18,18 juta dari 15 insiden - turun dari lebih dari $127 juta pada September - serangan November menunjukkan bahwa kerentanan signifikan tetap ada. Manipulasi oracle dan eksploitasi pinjaman cepat tetap menjadi di antara vektor serangan yang paling efektif terhadap protokol DeFi.
Para ahli industri menyarankan insiden ini kemungkinan akan mempercepat seruan untuk persyaratan validasi oracle yang lebih ketat dan sistem verifikasi harga multi-sumber. Protokol DeFi mungkin perlu menerapkan pemeriksaan kewajaran harga yang lebih kuat, interval detak jantung yang lebih cepat untuk pembaruan oracle, dan pemutus sirkuit yang menghentikan operasi ketika pergerakan harga yang tidak biasa terdeteksi.
Khusus untuk Moonwell, jalan membangun kembali kepercayaan tampak menantang. Dengan nilai total terkunci menurun dari hampir $400 juta pada puncaknya menjadi sekitar $234 juta sebelum serangan terbaru, dan penurunan lebih lanjut diharapkan, protokol menghadapi tekanan untuk menerapkan peningkatan keamanan yang komprehensif dan mungkin memberikan kompensasi kepada pengguna yang terkena dampak.
Eksploitasi November 2025 berfungsi sebagai pengingat yang jelas bahwa meskipun bertahun-tahun pengembangan dan miliaran dolar terkunci dalam protokol DeFi, sektor ini tetap rentan terhadap serangan yang rumit. Seiring adopsi yang tumbuh dan lebih banyak modal institusional mengalir ke keuangan terdesentralisasi, kebutuhan untuk langkah-langkah keamanan yang lebih kuat, sistem oracle yang lebih baik, dan manajemen risiko yang lebih komprehensif belum pernah lebih kritis.