Pada suatu malam yang tampaknya biasa bagi komunitas DeFi, situs Curve.fi—yang selama bertahun-tahun menjadi gerbang utama jutaan pengguna ke salah satu protokol DeFi paling terkemuka—tiba-tiba menjadi jebakan.
Bukan kesalahan kode. Bukan bug kontrak pintar. Tapi sebuah taktik lama dengan wajah baru: pembajakan DNS. Dan sayangnya, ini bukan pertama kalinya bagi Curve.
Seems like https://t.co/vOeMYOTq0l DNS might be hijacked. Don't interact!
— Curve Finance (@CurveFinance) May 12, 2025
Pada tanggal 13 Mei, pengunjung yang mencoba mengakses Curve.fi disambut dengan situs web yang tampak familiar… terlalu familiar. Dalam waktu singkat, diketahui bahwa situs tersebut adalah replika berbahaya—kloning jahat yang didesain untuk mengelabui pengguna agar menandatangani transaksi yang akan menguras isi dompet mereka. Sejumlah pengguna tertipu, dan kerugian pun terjadi. Walau belum diungkap totalnya, reaksi komunitas jelas: kekesalan dan kelelahan karena insiden yang seharusnya bisa dicegah.
Curve Ganti Domain, .fi Dianggap Tak Lagi Layak
Keesokan harinya, Curve Finance mengumumkan perubahan mendasar: protokol akan berpindah permanen dari Curve.fi ke Curve.finance.
Dear @iwantmyname. Your response time is totally unsacceptable: we need access to curve [.] fi taken away from hackers and the incident to be investigated. As of now, DNS still points to a drainer which can lead users to lose millions if they interact with it!
— Curve Finance (@CurveFinance) May 13, 2025
“[Domain] .fi akan tutup terlalu lama / tidak ada gunanya pindah kembali,” jelas tim Curve melalui kanal resmi mereka. Kalimat yang terkesan putus asa, namun beralasan. Dukungan dari pendaftar domain .fi, yakni iwantmyname, dinilai “sama sekali tidak dapat diterima”.
Ada rasa frustrasi yang kentara di balik keputusan itu.
Fakta bahwa registrar yang sama digunakan saat serangan DNS tahun 2022—yang saat itu merugikan pengguna hingga $530.000—membuat banyak pihak bertanya: kenapa masih digunakan? Mungkin karena perpindahan registrar domain bukanlah hal yang sepele bagi protokol dengan ekosistem raksasa seperti Curve.
Namun kali ini, tim tampaknya tak ingin mengambil risiko lebih lanjut.
Serangan DNS dan Masalah Infrastruktur Jadi Sorotan
Pakar keamanan dari Slowmist, Yu Xian, memperingatkan tentang semakin canggihnya trik yang digunakan. Ia menyebut taktik phishing yang dilakukan dalam insiden ini “cukup licik”, karena langsung memicu permintaan frasa pemulihan lewat pop-up dompet palsu. Bukan lagi sekadar “situs palsu”, tapi kombinasi visual dan interaksi yang dirancang untuk mencuri secara instan.
Hal ini menegaskan satu pelajaran penting: kita bisa menulis kontrak pintar paling aman di dunia, tapi tetap rentan jika infrastruktur sekitarnya rapuh.
Yesterday, the official @CurveFinance X account was compromised. As you already know, access has been fully restored.
— Curve Finance (@CurveFinance) May 6, 2025
To clarify: the incident was limited strictly to the X account. No other Curve accounts were affected. No security issues were found on our side, no user funds… https://t.co/8bci75uZGr
Menariknya, hanya sepekan sebelumnya—pada 6 Mei, akun X (dulu Twitter) Curve sempat dibajak. Penyerang memposting link phishing dari akun resmi, dan meskipun tim berhasil merebutnya kembali dengan cepat, dua serangan dalam rentang waktu seminggu bukan sinyal yang bisa diabaikan.
Komunitas DeFi: Saatnya Jauh Lebih Waspada
Beberapa suara dari komunitas merasa protokol DeFi sudah terlalu fokus pada “on-chain security” sambil mengabaikan layer penting seperti manajemen domain, otentikasi dua faktor, dan kontrol akses akun media sosial.
“Satu celah kecil di DNS, dan semua perlindungan on-chain menjadi percuma,” ungkap seorang pengguna di Reddit.
Serangan Hacker Kripto Capai $92 Juta pada April 2025, UPCX Jadi Korban Terbesar
April 2025 bukan bulan yang ramah bagi dunia keuangan terdesentralisasi. Menurut laporan…
Kita sering membahas soal audit kontrak, bug bounty, dan formal verification. Tapi siapa yang memverifikasi registrar domain kita? Apakah mereka punya sistem pemulihan cepat saat terjadi pembajakan? Siapa yang bertanggung jawab atas layer off-chain dalam protokol yang mengelola miliaran dolar?
Pindah ke Curve.finance: Awal Baru atau Hanya Tambalan?
Dengan perubahan ke domain baru Curve.finance, diharapkan pengguna akan lebih aman. Registrar yang digunakan untuk domain .finance dinilai lebih tangguh, dengan kontrol keamanan yang lebih memadai. Namun tentu saja, nama domain saja tidak cukup.
Langkah-langkah keamanan menyeluruh perlu diterapkan. Beberapa pihak menyarankan agar protokol DeFi besar mempertimbangkan:
- Menyebarkan kontrol domain ke multi-sig DNS management
- Menerapkan sistem deteksi otomatis terhadap kloning domain
- Memberikan insentif pelaporan phishing kepada komunitas
Dan yang paling mendesak: edukasi pengguna.
Phishing adalah satu-satunya jenis serangan yang tak bisa diselesaikan hanya dengan patch software. Karena korban utamanya adalah manusia, bukan mesin.
Kesimpulan: Infrastruktur Tak Boleh Jadi Titik Lemah
Kasus Curve menunjukkan satu kenyataan: sekuat apa pun smart contract, keamanan DeFi tetap bisa goyah jika pondasi infrastrukturnya lemah.
Satu nama domain, satu DNS entry, bisa jadi titik awal kerugian besar.
Dan sejujurnya, kita semua pernah meremehkannya.
Bagi media seperti coinbiograph.com, kejadian ini menegaskan pentingnya liputan yang mendalam bukan hanya tentang protokol dan angka TVL, tetapi juga sisi-sisi teknis yang jarang dibahas: siapa registrar domain protokol ini? Siapa yang mengontrol akun X mereka? Siapa yang punya akses ke DNS?
Karena pada akhirnya, satu klik dari pengguna bisa menentukan apakah ia mendapatkan yield… atau kehilangan segalanya.
Editor: Ari Pratama
