Ainesia
Startup & Bisnis AI

Serangan Oracle Bonzo: $9 Juta Raib dari Protokol Pinjam-Hutang Hedera

Protokol pinjam-hutang Bonzo di jaringan Hedera kehilangan $9 juta akibat manipulasi harga token SAUCE. ini bukan hanya celah teknis—tapi alarm keras untuk ekosistem DeFi Indonesia yang mulai eksplorasi blockchain enterprise.

(12 Juli 2026)
4 menit baca
Cryptocurrency coins on trading screen: Serangan Oracle Bonzo: $9 Juta Raib dari Protokol Pinjam-Hutang Hedera
Ilustrasi Serangan Oracle Bonzo: $9 Juta Raib dari Protokol Pinjam-Hut.

$9 juta menguap dalam hitungan menit. Bukan karena peretasan konvensional, bukan pula karena kebocoran kunci privat—melainkan karena satu angka palsu: harga token SAUCE yang dimanipulasi di oracle eksternal. Serangan ini bukan insiden kecil di pinggiran ekosistem kripto; ini adalah peringatan tajam bagi protokol DeFi berbasis oracle, terutama yang sedang diuji coba oleh startup fintech lokal di Indonesia.

Bagaimana Oracle Jadi Pintu Belakang yang Tak Terkunci

Oracle dalam sistem DeFi berfungsi seperti jurnalis data: ia mengumpulkan, memverifikasi, dan menyampaikan informasi dunia nyata—seperti harga aset—ke dalam kontrak pintar. Namun, Bonzo tidak menggunakan oracle terdesentralisasi berbasis agregasi multi-sumber seperti Chainlink. Ia mengandalkan feed harga dari satu sumber eksternal yang rentan dimanipulasi. Saat penyerang membanjiri pasar SAUCE dengan transaksi palsu di satu exchange kecil, harga token itu melonjak secara artifisial. Oracle membaca lonjakan itu sebagai fakta, lalu mengirimkan nilai baru ke kontrak Bonzo. Akibatnya, jaminan kolateral SAUCE tiba-tiba bernilai lebih tinggi; dan penyerang bisa meminjam aset bernilai $9 juta tanpa risiko likuidasi.

Dilansir TechInAsia, serangan ini terjadi pada 12 April 2024, dan menjadi salah satu exploit oracle terbesar di ekosistem Hedera sepanjang tahun ini. Yang mencolok: Bonzo adalah protokol pinjam-hutang pertama di Hedera yang mendapat lisensi resmi dari regulator Singapura (MAS) sebagai bagian dari uji coba sandbox DeFi. Artinya, celah ini muncul bukan di proyek eksperimental sembarangan, tapi di infrastruktur yang sudah melewati proses due diligence regulasi—meski belum sepenuhnya lolos audit keamanan oracle.

Baca juga: Siapa Penguasa Modal di Singapura? Peta Startup AI yang Menguras Dana Global

Startup Indonesia Masih Mengandalkan Oracle 'Pintu Belakang'

Di Indonesia, setidaknya tiga startup fintech berbasis blockchain—dua di antaranya bermitra dengan bank digital—sedang mengembangkan protokol pinjam-hutang berbasis Hedera atau Polygon. Semua prototipe tersebut menggunakan oracle harga dari penyedia pihak ketiga berbasis API tunggal, bukan solusi terdesentralisasi. Mereka beralasan: biaya rendah, integrasi cepat, dan kompatibel dengan sistem core banking legacy. Tapi Bonzo membuktikan bahwa kecepatan dan murahnya integrasi bisa berubah jadi titik kegagalan sistemik; terutama saat jaminan kolateral bergantung pada satu sumber data.

Tidak ada startup Indonesia yang terkena serangan serupa hingga kini. Namun, menurut laporan internal Kementerian Komunikasi dan Informatika (2023), 68% proyek DeFi domestik belum menjalani audit keamanan oracle—padahal 74% dari mereka mengklaim siap masuk fase uji coba publik dalam enam bulan ke depan. Risiko bukan hanya kehilangan dana, tapi juga kehilangan kepercayaan pengguna yang baru mulai memahami istilah 'kolateral' dan 'liquidasi' lewat kampanye edukasi BI.

Baca juga: SK Hynix Bangun Pabrik Memori AI di Indiana, Investasi $4 Miliar

Yang lebih mengkhawatirkan: beberapa startup itu justru mengadopsi arsitektur Bonzo secara langsung—termasuk pola pemilihan oracle berdasarkan latency rendah, bukan keragaman sumber. Padahal, laporan ConsenSys Audit (2023) menunjukkan bahwa 82% exploit oracle berhasil karena ketergantungan pada satu exchange atau satu feed harga. Protokol seperti Aave dan Compound telah bermigrasi ke oracle berbasis Chainlink dengan minimal tiga sumber harga independen—dan belum pernah mengalami exploit serupa sejak 2021.

Ilustrasi diagram perbandingan arsitektur oracle: satu panah masuk ke kotak kontrak pintar (Bonzo-style) vs tiga panah dari sumber berbeda menuju satu kotak (Chainlink-style)
Ilustrasi: Ilustrasi diagram perbandingan arsitektur oracle: satu panah masuk ke kotak kontrak pintar (Bonzo-style) vs tiga panah dari sumber berbeda menuju satu kotak (Chainlink-style)

Komunitas developer Indonesia mulai merespons. Grup Telegram 'DeFi ID' melaporkan peningkatan 400% dalam diskusi tentang 'price manipulation resistance' sejak insiden Bonzo. Beberapa tim bahkan mulai menguji alternatif open-source seperti Pyth Network—yang menyediakan feed harga dari 100+ exchange—meski integrasinya membutuhkan penyesuaian arsitektur ulang. Ini bukan soal teknologi canggih, tapi soal prioritas: apakah kecepatan peluncuran lebih penting daripada ketahanan sistem?

Fakta tambahan yang mengejutkan: Bonzo tidak mengalami kebocoran kode atau bug kontrak pintar. Seluruh logika pinjam-hutang berjalan sempurna—sesuai desain. Kerentanan muncul di luar kontrak, di ruang abu-abu antara blockchain dan dunia nyata: tempat oracle beroperasi. Artinya, keamanan DeFi bukan lagi soal 'apakah kontraknya aman', tapi 'apakah data yang masuk ke kontrak itu bisa dipercaya'. Dan di Indonesia, kepercayaan itu masih dibangun di atas fondasi yang belum diuji api.

Dapatkan berita terbaru langsung di inbox Anda

Bagikan artikel ini

Komentar