5000 juta USDT menguap dalam sekejap: biaya tombol konfirmasi Aave

Pada dini hari tanggal 13 Maret 2026, sebuah operasi di aplikasi mobile Aave mengubah USDT senilai 50,43 juta dolar AS menjadi AAVE, namun di atas rantai (on-chain) berubah menjadi bencana seperti buku teks: >99% slippage, dan akhirnya hanya mendapatkan sekitar 3,6 ribu dolar AS dalam nilai AAVE. Setelah itu, pihak protokol mengumumkan pengembalian biaya sekitar 600 ribu dolar AS. Di luar data yang dapat dilihat secara publik, yang lebih menyakitkan adalah ketegangan struktural yang terungkap dari insiden ini—di satu sisi adalah prinsip “Code is Law” dari desentralisasi yang ketat, kontrak berjalan tanpa ampun sesuai aturan yang telah ditetapkan; di sisi lain adalah suara-suara yang terus menerus menuntut perlindungan pengguna, toleransi terhadap kesalahan, dan mekanisme “anti-keliru”. Hampir seluruh USDT sebesar 50 juta dolar hilang dalam beberapa kali klik “konfirmasi”, menjadi sebuah tanda tanya ekstrem dalam perkembangan DeFi selama lebih dari satu dekade: ketika teknologi dan aturan semuanya “tidak salah”, siapa yang harus membayar harga dari kejadian ini?

Order besar sebesar 50 juta dolar masuk ke dalam lubang hitam harga di pool sebesar 4,5 juta dolar

● Struktur pool likuiditas: Berdasarkan data on-chain yang disusun komunitas, transaksi USDT senilai 50,43 juta dolar ini dilakukan melalui pool likuiditas terkait AAVE di Aave V3 di Ethereum, sementara likuiditas AAVE yang tersedia di pool tersebut hanya sekitar 4,5 juta dolar (angka ini masih perlu diverifikasi). Dengan kata lain, pengguna menaruh order pasar besar yang jauh melebihi kedalaman pool secara satu tingkat, langsung menabrakkan order tersebut ke dalam sebuah pool likuiditas berbentuk kurva. Di bawah mekanisme produk tetap (constant product), kurva harga dengan cepat didorong ke ekstrem, memicu efek slippage yang hampir mengosongkan pool.

● Dampak harga secara matematis: Dalam model kurva likuiditas seperti ini, harga tidak berubah secara linier seiring volume transaksi, melainkan meningkat secara non-linier dengan percepatan saat ukuran pool bertambah besar. Ketika USDT senilai 50 juta dolar mencoba menghabiskan kedalaman pool yang hanya beberapa juta dolar, setiap transaksi lebih jauh akan menukarkan biaya eksponensial untuk mendapatkan jumlah AAVE yang sangat kecil, akhirnya menyebabkan slippage lebih dari 99%—sebagian besar USDT “dibayar” ke kurva, sementara yang didapat hanyalah sejumlah kecil token di ujung kurva, dengan nilai setara hanya sekitar 3,6 ribu dolar AS.

● Insiden serupa tidaklah tunggal: Laporan penelitian menunjukkan bahwa dalam sekitar 12 bulan terakhir, sudah terjadi 7 kasus ekstrem di protocol serupa di mana satu transaksi mengalami slippage lebih dari satu juta dolar AS (data skala ini masih perlu diverifikasi). Meskipun insiden Aave ini karena jumlah uang yang lebih besar dan sangat mencolok, dari segi frekuensi, ini bukanlah kejadian langka tak terduga (black swan), melainkan lebih mendekati risiko tail (ekor) sistemik yang muncul dari desain AMM dan pool pinjaman saat ini. Hanya saja, sebelumnya, sampel yang ada belum cukup besar untuk memicu kewaspadaan kolektif di seluruh industri.

● Kehilangan intuisi dan pembesaran risiko: Bagi pengguna biasa, bahkan dengan pengalaman transaksi tertentu, sangat sulit membangun secara intuitif hubungan antara “kurva likuiditas” dan “dampak harga”, apalagi memahami apa arti matematis dari “USDT 50,43 juta / pool likuiditas 4,5 juta”. Mereka sering menggunakan pengalaman dari centralized exchange (CEX) untuk membayangkan kapasitas penampungan pool DeFi, menganggap “order pasar” sebagai instruksi yang bisa secara rata-rata diserap pasar, padahal ketidakcocokan persepsi ini diperkuat oleh layar kecil di ponsel dan antarmuka yang disederhanakan. Akibatnya, kesalahan persepsi ini berkembang menjadi kerugian hingga puluhan juta dolar.

Siapa yang mengizinkan bencana ini terjadi: tombol konfirmasi paling mahal

● Jalur operasi dari sudut pandang pengguna: Berdasarkan data on-chain dan screenshot dari antarmuka, ini adalah proses pertukaran yang dilakukan di aplikasi mobile Aave. Pengguna menginisiasi perintah untuk menukar USDT senilai 50,43 juta dolar AS menjadi AAVE, dan setelah estimasi harga, antarmuka menampilkan perkiraan slippage dan jumlah minimum yang akan diterima. Namun, di layar kecil dengan banyak jendela pop-up dan parameter kompleks, informasi penting ini sangat mungkin diabaikan pengguna sebagai bagian dari konfirmasi rutin. Pada akhirnya, melalui beberapa klik “Next”, “Confirm”, “Submit”, pengguna tidak benar-benar berhenti untuk menilai ulang risiko, sehingga order pasar besar yang ekstrem ini lolos melewati semua mekanisme perlindungan.

● Perpecahan tanggung jawab di komunitas: Setelah kejadian terungkap, komentar “Ini adalah klik tombol konfirmasi paling mahal dalam sejarah DeFi” langsung memenuhi diskusi komunitas. Satu pihak berpendapat bahwa ini adalah kesalahan “salah klik + tidak membaca petunjuk” dari pengguna, dan tanggung jawab sepenuhnya diemban oleh mereka; pihak lain menegaskan bahwa dengan volume sebesar 50,43 juta dolar, seharusnya tidak bisa dilepaskan hanya dengan beberapa klik ringan di antarmuka mobile. Ketegangan emosional berpusat pada pertanyaan: ketika kontrak berjalan sesuai aturan dan slippage sudah diberi peringatan, apakah ini “layak” atau “gagal desain sistemik”? Tidak ada konsensus sederhana.

● Tanggung jawab desain antarmuka dan parameter default: Dari sisi interaksi, banyak front-end DeFi saat ini menetapkan parameter default seperti slippage, referensi harga wajar, dan jumlah minimum yang sangat sulit dipahami pengguna awam, terutama di ponsel. Informasi penting sering disembunyikan dalam menu tersembunyi atau halaman sekunder. Meski transaksi ini secara teknis memberi peringatan risiko slippage >99%, cara penyajiannya apakah cukup mencolok, apakah kalimatnya cukup lugas, dan apakah nilai default terlalu longgar, semuanya secara objektif memperbesar kesalahan persepsi pengguna terhadap risiko, menciptakan jurang besar antara “informasi yang terlihat” dan “informasi yang benar-benar dipahami”.

● Apakah perlu batas keras (hard cap): Insiden ini juga mengangkat kembali isu yang sudah lama dibahas namun belum pernah diimplementasikan secara serius—haruskah antarmuka protocol menetapkan batas keras pada jumlah atau dampak harga dari transaksi besar? Misalnya, ketika estimasi slippage melebihi batas tertentu (50%, 80%, bahkan mendekati 100%), antarmuka langsung menolak eksekusi atau meminta pengguna mengikuti proses yang lebih kompleks dan memerlukan tanda tangan tambahan. Pendukung berpendapat ini adalah mekanisme “anti-keliru” yang penting, sementara penentang khawatir ini akan mengaburkan batas netral dari protokol tanpa izin. Namun, dalam kenyataan hilangnya 50 juta dolar ini, “tidak melakukan apa-apa” semakin sulit dibela.

Pengembalian biaya oleh Aave: garis tipis antara otonomi dan belas kasihan

● Hanya mengembalikan biaya, tanpa membatalkan kontrak: Setelah insiden, solusi awal dari komunitas dan tim Aave adalah tetap tidak membatalkan transaksi tersebut, artinya mempertahankan hasil pertukaran besar yang dilakukan sesuai aturan. Pada saat yang sama, demi mempertimbangkan situasi ekstrem dan kerugian pengguna, diputuskan untuk mengembalikan biaya sekitar 600 ribu dolar ke alamat yang terdampak. Pendekatan ini secara formal menjaga hasil eksekusi kontrak tidak dapat diubah, sekaligus memberi sinyal simpati dan penenang.

● Makna kompromi simbolis: Secara prinsip, solusi “hanya mengembalikan biaya” ini lebih mirip kompromi simbolis: di satu sisi, menjamin bahwa inti dari “Code is Law” tetap berlaku, dan tidak akan mengubah logika eksekusi dan penyelesaian transaksi; di sisi lain, memberi sinyal kepada publik bahwa mereka mengakui bahwa ini adalah manifestasi ekstrem dari kegagalan sistem, dan bersedia memberikan kompensasi terbatas serta memperbaiki mekanisme di masa depan sebagai respons terhadap perhatian eksternal.

● Pernyataan pendiri dan kesepakatan anti-keliru: Pendiri Aave secara terbuka menyatakan dalam diskusi bahwa “kita harus membangun mekanisme anti-keliru dalam protokol otonom,” yang secara nyata menandai batas kesepakatan baru: bahwa desentralisasi dan otonomi tidak berarti tanpa perlindungan atau tanpa tanggung jawab. Protokol dapat, tanpa mengubah logika kontrak, menambahkan fitur antarmuka, parameter, dan proses yang lebih manusiawi untuk “asuransi keamanan”. Pernyataan ini mencerminkan tekanan opini publik yang dirasakan tim, sekaligus membuka kemungkinan evolusi industri ke arah tersebut.

● Risiko moral dari pengembalian setelah kejadian: Namun, jika protokol memutuskan untuk melakukan pengembalian lebih besar atau bahkan mengembalikan sebagian modal setelah kejadian ini, itu akan membuka preseden “penyelamatan pasca kejadian”. Di masa depan, setiap kerugian besar akibat kesalahan operasi atau penilaian risiko yang salah bisa digunakan sebagai dasar klaim dan perbandingan. Dalam jangka panjang, ini akan mendorong pengguna menurunkan standar pengendalian risiko diri mereka sendiri, berharap protokol akan “membayar” dalam situasi ekstrem, yang secara perlahan merusak netralitas dan prediktabilitas dari protokol tanpa izin—seperti yang dihindari oleh banyak proyek DeFi mapan.

Perdebatan mekanisme anti-keliru: konfirmasi tertunda dan sentralisasi lunak

● Ide penundaan EIP-9873: Sejak 2025, komunitas Ethereum pernah mengusulkan EIP-9873 yang mengusung ide penundaan transaksi di front-end DEX, misalnya dengan menunda eksekusi ketika volume transaksi atau dampak harga melebihi ambang tertentu. Dalam periode penundaan ini, pengguna dapat memeriksa ulang slippage, jumlah minimum yang akan diterima, dan rentang harga, bahkan diarahkan untuk membagi order. Meski usulan ini belum menjadi standar implementasi yang seragam, gagasan inti ini kembali dibahas setelah insiden ini.

● Gesekan antara periode penundaan dan likuiditas tinggi: Dari sudut pandang pengalaman transaksi dan pemanfaatan likuiditas, memperkenalkan periode penundaan paksa, konfirmasi kedua, atau peringatan dampak harga yang lebih agresif pasti akan menimbulkan gesekan dengan trading frekuensi tinggi dan arbitrase kedalaman. Untuk market maker profesional, setiap penundaan akan meningkatkan slippage dan biaya peluang, sehingga mengurangi minat mereka untuk berpartisipasi di pool tertentu. Mekanisme “anti-keliru” ini secara esensial adalah pertukaran efisiensi dengan keamanan; bagaimana menyeimbangkan efisiensi trader profesional dan perlindungan pengguna umum akan menjadi salah satu titik utama dalam desain antarmuka di masa depan.

● Sentralisasi lunak sebagai kompromi: Untuk skenario operasi berisiko tinggi di ponsel, komunitas juga membahas kemungkinan pengaturan batas jumlah yang lebih konservatif dan lapisan pengendalian risiko berbasis perilaku alamat, KYC, atau whitelist. Mekanisme ini secara teknis tidak rumit, tetapi secara filosofi governance akan dianggap sebagai bentuk “sentralisasi lunak”: antarmuka mulai melakukan penilaian subjektif terhadap pengguna dan membatasi kebebasan operasinya secara berbeda. Pendukung berpendapat ini adalah perlindungan yang wajar terhadap dana besar, sementara penentang khawatir ini akan mengarah ke “peninjauan oleh antarmuka tentang siapa yang berhak bertransaksi,” yang berbahaya.

● Di mana batasnya harus digaris: Pertanyaan yang lebih dalam adalah bagaimana mendefinisikan batas yang jelas antara protokol dan antarmuka. Di tingkat protokol, tetap harus menjaga prinsip tanpa izin dan netral, semua panggilan yang memenuhi aturan harus diperlakukan sama. Di tingkat antarmuka, bisa menambahkan peringatan risiko yang lebih ketat, proses penundaan, dan template pengendalian risiko yang dapat dipilih. Mungkin akan muncul model industri “protokol murni + banyak front-end”: pengguna teknis bisa langsung berinteraksi dengan kontrak, sementara antarmuka resmi dan pihak ketiga yang lebih berorientasi pengguna umum akan menonjolkan aspek keamanan, pengendalian risiko, dan perlindungan pengguna, dengan transparansi tentang trade-off antara keamanan dan kebebasan.

Biaya pelajaran keras: Siapa yang harus dilindungi oleh DeFi?

Insiden slippage ekstrem sebesar 50,43 juta dolar ini, dengan kerugian besar yang hampir tidak dapat dipulihkan, mengungkapkan celah bersama dalam pengelolaan likuiditas, interaksi antarmuka, dan edukasi pengguna di DeFi: kedalaman pool dan visualisasi dampak harga masih kurang intuitif, antarmuka mobile terlalu bergantung pada kesadaran pengguna terhadap risiko utama, dan konflik antara “tingkat kebebasan tinggi” dan “pengalaman rendah hambatan” semakin diperbesar. Hanya peringatan dan klausul pelepasan tanggung jawab tidak cukup; mekanisme dan proses sistemik diperlukan untuk benar-benar mengurangi frekuensi bencana tail (ekor).

Melihat ke depan, dalam hal pengendalian risiko transaksi besar dan standar antarmuka, komunitas, protokol, dan pengguna akan semakin bersaing: pengembang cenderung menggunakan usulan EIP dan kerangka standar front-end untuk mendistribusikan tanggung jawab, tata kelola protokol harus memberikan jawaban tegas terkait apakah akan memperkenalkan batas keras, periode penundaan, dan pengendalian risiko lunak, dan pengguna harus membuat pilihan matang antara “kebebasan penuh” dan “perlindungan terbatas”. Salah satu jalan tengah yang dapat diprediksi adalah: tanpa menyimpang dari semangat desentralisasi, industri secara bertahap akan menyepakati bahwa operasi berisiko tinggi dapat diperlambat secara signifikan, tetapi tidak dilarang; kebebasan transaksi tetap dipertahankan, tetapi harus melewati gerbang risiko yang lebih tebal.