Bagaimana Desain Price Feed Menyebabkan USD 60 Juta Berubah Menjadi Bencana USD 19 Miliar

Pada 10–11 Oktober 2025, aksi jual pasar senilai USD 60 juta memicu keruntuhan nilai sebesar USD 19,3 miliar. Bukan karena kejatuhan pasar. Bukan karena margin call berantai pada posisi yang benar-benar bermasalah. Tetapi karena kegagalan oracle.

Ini bukan peristiwa baru. Pola serangan yang sama telah berulang sejak Februari 2020, merugikan industri ratusan juta dolar dalam puluhan insiden. Oktober 2025 menjadi titik amplifikasi 160x dari serangan oracle terbesar sebelumnya—bukan karena kecanggihan teknis, melainkan karena sistem yang berkembang tetap meninggalkan kerentanan mendasar.

Lima tahun pelajaran mahal, diabaikan. Analisis berikut mengupas alasannya.

Dilema Oracle: Sensitivitas vs Stabilitas

Setiap platform leverage menghadapi tantangan utama: bagaimana menilai agunan secara presisi tanpa membuka peluang manipulasi?

Terlalu sensitif → rentan manipulasi Terlalu stabil → gagal mendeteksi kerugian riil

Oktober 2025 memilih sensitivitas. Oracle mencerminkan harga spot secara real-time saat USD 60 juta dijual di pasar, menurunkan nilai agunan secara langsung, memicu likuidasi massal. Sistem beroperasi persis sesuai desain.

Namun desainnya cacat fatal.

Pola Lima Tahun yang Diabaikan

Sebelum membedah Oktober 2025, perlu diingat: kita pernah mengalami ini sebelumnya.

Blueprint (2020–2022)

Februari 2020: bZx (USD 350 ribu + USD 630 ribu) Oracle satu sumber. Manipulasi harga WBTC di Uniswap lewat flash loan. 14,6% suplai total dipindahkan untuk memanipulasi feed bZx.

Oktober 2020: Harvest Finance (USD 24 juta dicuri, USD 570 juta penarikan lari) Tujuh menit. Flash loan USD 50 juta. Manipulasi harga stablecoin Curve. Infrastruktur runtuh dan penarikan likuiditas jauh melampaui nilai pencurian awal.

November 2020: Compound (USD 89 juta dilikuidasi) DAI melonjak ke USD 1,30 di Coinbase Pro—tidak terjadi di exchange lain. Oracle Compound menggunakan Coinbase sebagai referensi. Likuidasi terjadi berdasarkan harga yang hanya ada selama satu jam di satu exchange. Hanya perlu USD 100 ribu untuk manipulasi orderbook dengan kedalaman 300 ribu.

Oktober 2022: Mango Markets (USD 117 juta) Modal awal USD 5 juta. Harga token MNGO dipompa 2.394% di berbagai venue. Meminjam USD 117 juta dengan agunan manipulatif. Token governance curian dipakai voting untuk “bug bounty” USD 47 juta. CFTC mengambil tindakan hukum pertama atas manipulasi oracle.

Benang Merah

Setiap serangan mengikuti logika serupa:

1. Identifikasi ketergantungan oracle pada sumber yang dapat dimanipulasi
2. Hitung: Biaya manipulasi < Nilai yang bisa diekstrak
3. Eksekusi
4. Profit

2020–2022: USD 403,2 juta dicuri dalam 41 serangan manipulasi oracle.

Respons industri: terfragmentasi, lambat, tidak tuntas. Sebagian besar platform tetap menggunakan oracle berbasis spot dengan redundancy minim.

Lalu hadir Oktober 2025.

Anatomi Kegagalan Oracle: Edisi 2025

10 Oktober 2025, 05:43 WIB: USD 60 juta USDe dijual di pasar spot.

Dalam desain oracle yang tepat: dampak minim, diserap banyak sumber independen.

Pada oracle ini: bencana.

Dump spot USD 60 juta → Oracle turunkan agunan (wBETH, BNSOL, USDe) →

Likuidasi massal → Infrastruktur overload → Kekosongan likuiditas → USD 19,3 miliar hilang

Faktor Amplifikasi

• Mango Markets (2022): Manipulasi USD 5 juta → USD 117 juta diekstrak (23x)
• Oktober 2025: Manipulasi USD 60 juta → USD 19,3 miliar hancur (322x)

Bukan karena kecanggihan. Kerentanan yang sama terjadi dalam skala institusional.

Masalah Distribusi Bobot

Oracle terlalu mengandalkan harga spot dari venue utama. Ketika satu venue mendominasi volume:

• Volume tinggi diasumsikan sebagai penemuan harga (terlihat logis)
• Konsentrasi justru membuka celah manipulasi (fatal)
• Harga internal eksklusif menciptakan loop referensi diri (memperparah masalah)

Pengamatan analis: “karena [exchange] punya volume terbesar usde/bnsol/wbeth, bahkan berdasarkan bobot oracle, harus mengacu ke harga spot.”

Intuisi ini—percayakan pada pasar terbesar—telah menghancurkan miliaran dolar dalam lima tahun serangan oracle. Konsentrasi volume bukan bukti akurasi harga, melainkan peluang manipulasi.

Jendela Kerentanan Terjadwal

Pembaruan metodologi oracle diumumkan delapan hari sebelum implementasi. Penyerang memiliki:

• Ketergantungan oracle yang diketahui
• Tenggat transisi yang dapat diprediksi
• Delapan hari untuk memposisikan dan bersiap

Serangan oracle sebelumnya mengeksploitasi kerentanan yang sudah ada. Oktober 2025 memanfaatkan transisi antar-metodologi oracle—kerentanan yang muncul karena perbaikan diumumkan sebelum diterapkan.

Uji Isolasi Venue

Bukti paling jelas kegagalan oracle, bukan kerusakan aset:

Exchange utama: USDe di USD 0,6567, wBETH di USD 430 Venue lain: deviasi < 30 basis poin

Pool on-chain: dampak minim

Guy dari Ethena: “Collateral stablecoin on-demand > USD 9 miliar tersedia untuk redemption langsung” sepanjang peristiwa.

Harga bergerak dramatis di exchange sumber oracle, tetap stabil di venue lain. Oracle melaporkan harga manipulasi. Sistem melakukan likuidasi berdasarkan harga yang tidak ada di pasar lain.

Ini pola Compound 2020: manipulasi venue terisolasi, dilaporkan akurat, berujung destruktif sistematis.

Rangkaian Infrastruktur

Analis agintender mengidentifikasi mekanisme amplifikasi:

“likuidasi berantai membuat server sibuk dengan jutaan request. MM gagal bidding tepat waktu sehingga likuiditas hilang”

Ini pola Harvest Finance versi massal. Serangan memicu likuidasi lebih cepat dari kapasitas infrastruktur. Market maker gagal merespons. Likuiditas lenyap. Rangkaian likuidasi makin memperkuat efeknya.

Setelah keruntuhan Harvest Oktober 2020 (TVL turun dari USD 1 miliar ke USD 599 juta), pelajaran jelas: sistem oracle harus memperhitungkan kapasitas infrastruktur saat tekanan ekstrem.

Oktober 2025 membuktikan pelajaran itu belum dipraktikkan.

Trade-off Sensitivitas: Dua Pendekatan, Satu Bencana

Guy dari Ethena merumuskan tantangan desain utama: Oracle harus membedakan dislokasi sementara (noise pasar) dan kerugian permanen (kerugian nyata).

Oktober 2025 menunjukkan dua respons:

Pendekatan Sensitivitas Tinggi (Exchange gagal)

• Harga spot real-time
• Respons pasar cepat
• Hasil: berantai USD 19 miliar

Pendekatan bZx/Harvest: percaya pasar spot, hancur karena manipulasi.

Pendekatan Stabilitas Tinggi (DeFi survivor)

• USDe = USDT dikodekan
• Abaikan dislokasi sementara
• Hasil: Tidak ada likuidasi

Koreksi berlebihan. Lebih baik daripada gagal, tapi belum optimal.

Lima tahun berlalu, solusi optimal tidak tercapai—justru dua kutub ekstrem, dengan skala institusional memilih yang paling destruktif.

Teorema Serangan Oracle: Terbukti Empiris

Teorema: Dalam sistem leverage yang:

1. Harga oracle bergantung pada pasar spot manipulatif
2. Trigger likuidasi deterministik
3. Infrastruktur terbatas kapasitasnya

Maka: Biaya manipulasi < Nilai yang bisa diekstrak lewat cascade

Bukti demonstrasi berulang:

• bZx (Feb 2020): Manipulasi Uniswap → USD 350 ribu + USD 630 ribu diekstrak
• Harvest (Okt 2020): Manipulasi Curve → USD 24 juta dicuri + USD 570 juta penarikan lari
• Compound (Nov 2020): Manipulasi Coinbase → USD 89 juta dilikuidasi
• Mango (Okt 2022): Manipulasi multi-venue → USD 117 juta diekstrak
• Oktober 2025: Manipulasi venue utama → USD 19,3 miliar hilang

Ketika skala sistem naik linear, kerusakan naik eksponensial. Biaya manipulasi relatif tetap (tergantung likuiditas venue), namun nilai yang diekstrak tumbuh seiring leverage sistem.

Oktober 2025 memvalidasi teorema ini dalam skala luar biasa.

Prinsip Desain Oracle: Pelajaran yang Harusnya Sudah Dipahami

1. Validasi Multi-Sumber

Jangan pernah bergantung pada harga satu venue—terutama dari orderbook internal. Ini pelajaran bZx Februari 2020. Oracle yang baik:

Harga Oracle = Rata-rata berbobot dari:

• Harga beberapa venue (40%)

• Pool likuiditas on-chain (30%)

• Rasio konversi aset wrapped (20%)

• Harga historis berbobot waktu (10%)

Bobot kurang penting dibanding independensi. Jika semua sumber bisa dimanipulasi secara bersamaan dengan modal wajar, Anda hanya punya satu sumber.

1. Sensitivitas Adaptif

Oracle harus menyesuaikan sensitivitas sesuai kondisi pasar:

• Pasar normal: sensitivitas tinggi pada perubahan harga
• Pasar volatil: stabilitas meningkat dengan TWAP
• Ekstrem: circuit breaker dan sanity check

Oracle TWAP diadopsi luas pasca flash loan 2020 untuk mencegah manipulasi satu transaksi. Namun oracle Oktober 2025 tetap responsif pada harga spot real-time, seolah pelajaran lima tahun tidak pernah terjadi.

1. Resiliensi Infrastruktur

Sistem oracle harus tetap beroperasi saat cascade likuidasi:

• Feed harga terpisah
• Kapasitas jutaan query serentak
• Degradasi bertahap saat overload

Setelah keruntuhan Harvest Finance Oktober 2020, pentingnya kapasitas sistem saat tekanan ekstrem menjadi jelas. Cascade likuidasi menghasilkan beban eksponensial. Infrastruktur harus siap untuk likuidasi ribuan secara bersamaan ketika MM gagal dan user panik.

1. Transparansi Tanpa Kerentanan

Jendela delapan hari antara pengumuman dan implementasi menciptakan vektor serangan. Cara lebih baik:

• Implementasi perubahan segera setelah pengumuman
• Update bertahap tanpa tanggal tetap
• Audit trail tanpa masa preview

Pelajaran baru ini logis secara game theory: jangan umumkan perubahan eksploitabel sebelum diterapkan. Penyerang Oktober 2025 punya delapan hari untuk merencanakan dan bersiap. Mereka tahu pasti kapan jendela kerentanan terbuka.

Perspektif Akademik: Teorema Serangan Oracle

Lima tahun bukti empiris membuktikan secara teoretis:

Teorema: Dalam sistem leverage yang:

1. Harga oracle bergantung pada pasar spot manipulatif
2. Trigger likuidasi deterministik
3. Infrastruktur terbatas kapasitasnya

Maka: Biaya manipulasi < Nilai yang bisa diekstrak lewat cascade

Bukti validasi empiris berulang:

• bZx (Feb 2020): Pinjaman USD 10 juta, USD 350 ribu diekstrak. Manipulasi oracle via Uniswap.
• Harvest (Okt 2020): Flash loan USD 50 juta, USD 24 juta dicuri + USD 570 juta penarikan lari.
• Compound (Nov 2020): Manipulasi orderbook USD 100 ribu, USD 89 juta dilikuidasi.
• Mango (Okt 2022): Modal awal USD 5 juta, USD 117 juta diekstrak.
• Oktober 2025: Dump spot USD 60 juta, USD 19,3 miliar hilang.

Perkembangannya jelas: skala sistem naik linear, kerusakan naik eksponensial. Biaya manipulasi relatif tetap (tergantung likuiditas venue), namun nilai yang diekstrak tumbuh seiring leverage sistem.

Oktober 2025 membuktikan teorema ini dalam skala yang belum pernah tercapai. Teorema berlaku.

Implikasi Sistemik: Pelajaran yang Masih Belum Dipahami

Ini bukan kegagalan satu platform—melainkan mengungkap kerentanan industri yang bertahan meski lima tahun pendidikan mahal:

1. Ketergantungan Berlebihan pada Harga Spot

Kebanyakan platform masih mengandalkan oracle berbasis spot meski serangan besar sejak 2020 mengeksploitasi kerentanan ini. Industri tahu harga spot bisa dimanipulasi, tahu TWAP dan oracle multi-sumber lebih aman, namun implementasinya belum tuntas.

Kenapa? Kecepatan dan sensitivitas jadi fitur sampai berubah jadi bug. Update harga real-time terasa akurat—hingga manipulasi terjadi.

2. Risiko Konsentrasi

Venue dominan menciptakan titik kegagalan tunggal. bZx mengandalkan Uniswap, Compound pada Coinbase, platform Oktober 2025 pada orderbook sendiri. Venue berubah; kerentanan tetap.

Ketika satu exchange menguasai volume perdagangan, menjadikannya oracle utama terasa logis. Namun risiko konsentrasi feed harga sama dengan risiko konsentrasi sistem lain: baik hingga ada yang mengeksploitasi.

3. Asumsi Infrastruktur

Sistem yang didesain untuk kondisi normal gagal total saat stres. Harvest Finance membuktikan pada 2020. Oktober 2025 membuktikan kita masih berharap stres tidak terjadi.

Harapan bukan strategi.

4. Paradoks Transparansi

Mengumumkan perbaikan menciptakan jendela serangan. Jarak delapan hari antara pengumuman dan implementasi memberi roadmap dan timeline bagi pelaku. Mereka tahu kapan dan bagaimana menyerang.

Mode kegagalan baru untuk masalah lama. Serangan oracle sebelumnya mengeksploitasi kerentanan yang ada. Oktober 2025 memanfaatkan transisi antar-metodologi oracle—kerentanan yang muncul karena perbaikan diumumkan sebelum diterapkan.

Jalan ke Depan: Saatnya Benar-Benar Belajar

Perbaikan Segera

1. Desain Oracle HybridGabungkan banyak sumber harga dengan sanity check yang benar-benar efektif:

• Harga CEX (volume berbobot antar venue)
• Harga DEX (hanya pool likuiditas tinggi)
• Bukti cadangan on-chain
• Batas deviasi antar exchange

Setiap sumber harus independen. Jika manipulasi satu sumber memengaruhi lainnya, Anda tidak punya redundancy.

2. Pembobotan DinamisSesuaikan sensitivitas oracle dengan kondisi pasar:

• Volatilitas normal: bobot standar
• Volatilitas tinggi: perpanjang window TWAP, kurangi pengaruh spot
• Ekstrem: jeda likuidasi, investigasi sebelum lanjut

Serangan Compound membuktikan kadang “harga benar” di satu exchange justru salah untuk pasar. Oracle Anda harus cukup cerdas untuk mengenali ini.

3. Circuit BreakerJeda likuidasi saat pergerakan harga ekstrem—bukan mencegah deleveraging valid, tetapi membedakan manipulasi dari realitas pasar:

• Harga antar venue konvergen dalam beberapa menit: kemungkinan riil
• Harga tetap terisolasi di satu venue: kemungkinan manipulasi
• Infrastruktur overload: jeda hingga kapasitas pulih

Tujuannya bukan mencegah semua likuidasi, tapi mencegah cascade akibat harga manipulasi.

4. Skalabilitas InfrastrukturDesain untuk kapasitas 100x normal karena cascade memicu beban itu:

• Feed harga terpisah
• Mesin likuidasi independen
• Rate limiting per alamat
• Degradasi bertahap

Jika sistem tak mampu memproses beban saat cascade, justru memperkuat efek cascade. Ini syarat desain mutlak.

Solusi Jangka Panjang

1.Network Oracle TerdesentralisasiGunakan solusi oracle matang seperti Chainlink, Pyth, atau UMA yang mengagregasi lintas sumber dan memiliki resistensi manipulasi. Meski belum sempurna, jauh lebih baik dibanding oracle berbasis spot yang rutin dieksploitasi. bZx mengadopsi Chainlink setelah serangan 2020—dan mereka berhenti jadi korban manipulasi oracle. Ini bukan kebetulan.

2.Integrasi Proof of ReservesUntuk aset wrapped dan stablecoin, validasi nilai agunan secara on-chain. USDe harus dinilai berbasis cadangan terverifikasi, bukan orderbook. Teknologinya sudah tersedia; implementasinya yang tertinggal.

3.Likuidasi BertahapCegah cascade dengan likuidasi bertahap:

• Ambang pertama: Peringatan dan waktu tambah agunan
• Ambang kedua: Likuidasi parsial (25%)
• Ambang ketiga: Likuidasi besar (50%)
• Ambang akhir: Likuidasi total
  Memberi waktu bagi pengguna untuk merespons, mengurangi guncangan dari likuidasi massal.

4.Audit Real-timePantau upaya manipulasi oracle:

• Deviasi harga antar exchange
• Volume tak wajar pada pasangan likuiditas rendah
• Peningkatan posisi mendadak sebelum update oracle
• Pola serangan sesuai signature yang dikenal

Serangan Oktober 2025 kemungkinan sudah menunjukkan tanda peringatan. Dump USD 60 juta USDe pada pukul 05:43 WIB harusnya memicu alert. Jika monitoring tidak menangkap, berarti belum memadai.

Kesimpulan: Pengingat USD 19 Miliar

Rangkaian likuidasi 10–11 Oktober bukan karena leverage berlebih atau kepanikan pasar—melainkan kegagalan desain oracle dalam skala besar. Aksi pasar USD 60 juta membesar menjadi kerusakan USD 19 miliar karena feed harga gagal membedakan manipulasi dari penemuan harga sah.

Ini bukan mode kegagalan baru. Pola yang sama menghancurkan bZx (Februari 2020), Harvest (Oktober 2020), Compound (November 2020), dan Mango (Oktober 2022).

Industri sudah belajar lima kali, biayanya terus naik:

• 2020: Protokol individual belajar, memperbaiki sistem
• 2022: Regulator belajar, mulai enforcement
• 2025: Pasar global belajar, membayar “tuition” USD 19,3 miliar

Pertanyaannya kini: apakah pelajaran itu benar-benar diingat?

Setiap platform leverage wajib bertanya:

• Apakah oracle kami tahan terhadap vektor serangan 2020–2022?
• Bisakah infrastruktur kami menghadapi cascade likuidasi yang telah terjadi?
• Apakah sensitivitas dan stabilitas sudah seimbang?
• Apakah kami mengulang kesalahan yang sudah merugikan industri ratusan juta dolar?

Lima tahun sejarah membuktikan: manipulasi oracle bukan risiko hipotesis atau kasus pinggiran—melainkan strategi serangan terdokumentasi, berulang, dan menguntungkan yang skalanya naik seiring pasar.

Oktober 2025 menegaskan akibat pelajaran yang diabaikan dalam skala institusional. Serangannya tidak canggih atau baru. Hanya playbook lama, dijalankan pada sistem lebih besar di jendela kerentanan diketahui.

Oracle adalah fondasi. Ketika retak, seluruh ekosistem runtuh. Kita sudah tahu sejak Februari 2020. Sudah membayar miliaran untuk mempelajarinya berulang. Tinggal apakah Oktober 2025 cukup mahal agar kita benar-benar bertindak atas pengetahuan itu.

Di pasar modern yang saling terhubung, desain oracle bukan sekadar feed data—tetapi soal stabilitas sistemik. Salah desain, USD 60 juta bisa menghancurkan USD 19 miliar.

Salah berulang, artinya Anda tidak belajar dari sejarah—hanya memperbesar biaya untuk mengulanginya.

Analisis berdasarkan data pasar publik, pernyataan platform, dan studi kasus manipulasi oracle selama lima tahun. Seluruh pendapat adalah milik pribadi penulis, tidak mewakili entitas manapun.

Disclaimer:

1. Artikel ini merupakan reprint dari [yq_acc]. Semua hak cipta milik penulis asli [yq_acc]. Jika ada keberatan terkait reprint ini, silakan hubungi tim Gate Learn untuk penanganan segera.
2. Disclaimer tanggung jawab: Seluruh pandangan dan opini dalam artikel ini sepenuhnya milik penulis dan tidak merupakan saran investasi.
3. Terjemahan ke bahasa lain oleh tim Gate Learn. Kecuali dinyatakan, dilarang menyalin, mendistribusikan, atau menjiplak artikel terjemahan ini.