Protokol: Bug yang dapat menguras semua token Anda berdampak pada 'ribuan' situs

Selamat datang di The Protocol, rangkuman mingguan CoinDesk mengenai berita terpenting dalam pengembangan teknologi cryptocurrency. Saya Margaux Nijkerk, seorang reporter di CoinDesk.

Dalam edisi ini:

• Bug baru pada React yang dapat menguras semua token Anda sedang memengaruhi 'ribuan' situs web
• Ripple Memperluas Stablecoin RLUSD senilai $1,3 Miliar ke Ethereum L2 melalui Wormhole dalam Dorongan Multichain
• Aave DAO Menolak Perubahan Saat Biaya Antarmuka Bergeser Dari Treasury
• Proyek NFT Pudgy Penguins Menguasai Las Vegas Sphere dalam Kampanye Liburan

Berita Jaringan

BUG YANG DAPAT MENGOSONGKAN DOMPET MEMPENGARUHI RIBUAN SITUS WEB: A kerentanan kritis dalam React Server Components sedang aktif dieksploitasi oleh beberapa kelompok ancaman, menempatkan ribuan situs web — termasuk platform kripto — dalam risiko langsung dengan kemungkinan pengguna melihat semua aset mereka terkuras, jika terkena dampak. Kerentanan ini, yang dilacak sebagai CVE-2025-55182 dan dijuluki React2Shell, memungkinkan penyerang untuk menjalankan kode secara remote pada server yang terdampak tanpa autentikasi. Para pemelihara React mengungkapkan masalah ini pada 3 Desember dan menetapkannya dengan skor tingkat keparahan tertinggi. Tak lama setelah pengungkapan, GTIG mengamati eksploitasi yang luas oleh pelaku kriminal yang bermotif finansial maupun kelompok peretas yang diduga didukung negara, menargetkan aplikasi React dan Next.js yang belum diperbarui di berbagai lingkungan cloud. React Server Components digunakan untuk menjalankan bagian dari aplikasi web langsung di server, bukan di browser pengguna. Kerentanan ini berasal dari cara React mendekode permintaan yang masuk ke fungsi sisi server tersebut. Secara sederhana, penyerang dapat mengirim permintaan web yang dibuat khusus untuk membujuk server menjalankan perintah sewenang-wenang, atau secara efektif menyerahkan kendali sistem kepada penyerang. Bug ini mempengaruhi versi React 19.0 hingga 19.2.0, termasuk paket yang digunakan oleh framework populer seperti Next.js. Hanya dengan memasang paket yang rentan sudah sering kali cukup untuk memungkinkan eksploitasi.— Shaurya Malwa Baca selengkapnya.

RIPPLE AKAN HADIR DI ETH L2S: Ripple, perusahaan blockchain yang berfokus pada pembayaran dan memiliki hubungan erat dengan XRP Ledger (XRP), sedang membawa stablecoin yang didukung oleh dolar AS ke blockchain layer-2 (L2) Ethereum termasuk Optimism, Base milik Coinbase, Ink milik Kraken, dan Uniswap's Unichain dalam upaya untuk menanamkan token senilai $1,3 miliar tersebut lebih dalam ke dalam ekosistem multichain. Perusahaan menyatakan bahwa mereka memulai dengan fase uji coba sebelum peluncuran yang lebih luas yang diharapkan tahun depan, dengan ketentuan persetujuan regulator dari Departemen Layanan Keuangan New York (NYDFS). Pilot ini mengintegrasikan standar Native Token Transfers (NTT) dari Wormhole, yang memungkinkan RLUSD bergerak secara native antar rantai tanpa pembungkusan atau aset sintetis. Hal ini membantu menjaga likuiditas dan kontrol regulasi sambil mendukung berbagai kasus penggunaan keuangan terdesentralisasi (DeFi) di berbagai jaringan yang dioptimalkan untuk kecepatan dan biaya yang lebih rendah. Stablecoin berkembang pesat sebagai komponen utama infrastruktur keuangan digital yang menghubungkan keuangan tradisional dan ekonomi kripto. Mereka merupakan kelas cryptocurrency senilai $300 miliar, dengan harga yang dipatok pada uang fiat seperti dolar AS. — Krisztian Sandor Baca lebih lanjut.

DEBAT ANTAR MUKA PROTOKOL AAVE SEMAKIN MEMANAS: Perdebatan di dalam DAO Aave memunculkan pertanyaan tentang siapa yang mengendalikan antarmuka protokol dan siapa yang memperoleh manfaat finansial darinya. Masalah ini mencuat setelah Aave Labs mengintegrasikan agregator pertukaran terdesentralisasi CoWSwap ke dalam antarmuka app.aave.com awal bulan ini, menggantikan routing Paraswap sebelumnya yang digunakan untuk pertukaran jaminan. Meskipun perubahan tersebut dikemas sebagai peningkatan pengalaman pengguna yang menawarkan eksekusi yang lebih baik dan perlindungan MEV, para delegasi kemudian menandai bahwa biaya terkait pertukaran tidak lagi mengalir ke kas DAO Aave. An surat terbuka dari delegasi Orbit EzR3aL berargumen bahwa integrasi tersebut memperkenalkan biaya front-end sekitar 15 hingga 25 basis poin yang diterima oleh penerima eksternal alih-alih DAO. Data on-chain yang dikutip dalam postingan tersebut menunjukkan distribusi mingguan ether yang terkait dengan mekanisme biaya mitra CoWSwap di beberapa jaringan, yang berpotensi mencapai jutaan dolar setiap tahunnya. Surplus tersebut sejak itu menurun seiring dengan pergeseran routing ke model lelang batch CoWSwap, yang mengutamakan kepastian eksekusi dibandingkan perbaikan harga. Namun, yang menjadi pusat perdebatan adalah perbedaan yang menurut Aave Labs telah ada sejak awal: protokol versus produk. Dalam sebuah balasan forum, Aave Labs menyatakan bahwa antarmuka dioperasikan, didanai, dan dipelihara secara independen dari protokol yang diatur oleh DAO. Dalam model ini, DAO mengendalikan parameter on-chain, suku bunga, dan biaya tingkat protokol, sementara Labs mempertahankan kebijakan atas fitur opsional tingkat aplikasi seperti routing swap dan monetisasi antarmuka. “Setiap monetisasi hanya berlaku untuk fitur tambahan,” tulis Aave Labs, dengan alasan bahwa pemisahan ini menjaga netralitas protokol dan menghindari sentralisasi kontrol ekonomi di lapisan dasar. Namun, para kritikus mengatakan realitas praktisnya berbeda. Marc Zeller dari Aave Chan Initiative (ACI) mengatakan bahwa telah ada harapan lama bahwa monetisasi yang terkait dengan frontend aave.com — termasuk surplus swap dan eksekusi yang dibantu pinjaman kilat — akan menguntungkan DAO, terutama mengingat bahwa merek, legitimasi tata kelola, dan sebagian besar pengembangan dasar didanai oleh pemegang token. — Shaurya Malwa Baca selengkapnya.

PUDGY PENGUINS MENGUASAI VEGAS: Pernah menjadi proyek token non-fungible (NFT) terobosan selama ledakan kripto 2021, Pudgy Penguins kini beralih ke visibilitas dunia nyata dengan penempatan iklan berprofil tinggi di Las Vegas Sphere selama minggu Natal. Hanya beberapa merek terkait kripto yang berhasil mendapatkan ruang iklan di Sphere, sebuah tempat besar yang dilapisi LED dan dikenal karena tampilan imersif serta pertunjukan dari grup seperti U2 dan the Eagles. A aktivasi yang berfokus pada bitcoin tayang pada bulan Juli, tetapi contoh lain masih jarang. Iklan Pudgy Penguins akan tayang selama beberapa hari mulai tanggal 24 Desember dan akan mencakup beberapa segmen animasi, menurut seseorang yang mengetahui kesepakatan tersebut. Merek ini menghabiskan sekitar $500.000 untuk penempatan iklan — jumlah yang standar untuk tayangan di Sphere. “Ini semacam menunjukkan bahwa sebuah proyek kripto dapat melampaui dan keluar dari ranah kripto, menyentuh hati dan pikiran konsumen sehari-hari,” kata Vedant Mangaldas, kepala strategi dan merek di Pudgy Penguins, kepada CoinDesk. Dia mengatakan bahwa kesepakatan ini dimungkinkan karena proyek tersebut memiliki “bisnis nyata” di baliknya. – Helene Braun Baca lebih lanjut.

Dalam Berita Lainnya

• Securitize akan menawarkan apa yang disebutnya sebagai platform perdagangan onchain yang sepenuhnya patuh pertama untuk saham publik nyata pada awal tahun 2026, mengaburkan batas antara pasar tradisional dan infrastruktur Web3. Sistem perusahaan ini memungkinkan investor untuk memiliki langsung saham tokenisasi dari perusahaan publik, yang diterbitkan dan dicatat secara onchain, serta dapat diperdagangkan melalui antarmuka berbasis blockchain, menurut pengumuman. Berbeda dengan model token sintetis yang melacak harga saham melalui entitas luar negeri atau derivatif, pendekatan Securitize menawarkan kepemilikan hukum penuh. Setiap saham diterbitkan oleh perusahaan itu sendiri dan dicatat dalam tabel modal resmi perusahaan, kata pihak perusahaan. “Ini bukan pelacak harga sintetis atau IOU terhadap kustodian,” tulis Securitize dalam pengumumannya. “Ini adalah saham nyata yang diatur: diterbitkan di onchain, dicatat langsung di tabel modal penerbit, dan dapat diperdagangkan melalui pengalaman pertukaran gaya Web3 yang akrab.” Artinya pemegang token mendapatkan hak pemegang saham yang nyata, termasuk dividen dan hak suara, dan aset mereka berada di bawah kendali sendiri, tanpa perantara yang meminjamkan ulang saham secara tersembunyi. Namun, aset tersebut memiliki izin dan hanya dapat ditransfer di antara dompet yang mematuhi aturan dan telah masuk daftar putih. — Francesco Rodrigues Baca selengkapnya.
• Raksasa kartu kredit Visa (V) meluncurkan penyelesaian USDC di Amerika Serikat, memungkinkan mitra penerbit dan pengakuisisi untuk menyelesaikan kewajiban kepada jaringan kartu dengan stablecoin yang dipatok dolar dari Circle. Langkah ini menandai fase AS dari program penyelesaian stablecoin yang telah mencapai tingkat tahunan sebesar $3,5 miliar per 30 November, menurut siaran pers Visa. Opsi baru ini dirancang untuk memberikan pergerakan dana hampir instan kepada bank dan fintech, penyelesaian tujuh hari seminggu, serta likuiditas yang lebih dapat diprediksi di akhir pekan dan hari libur, sambil menjaga pengalaman kartu konsumen tetap tidak berubah. — Akankah Canny Baca selengkapnya.

Regulasi dan Kebijakan

• Senator AS Elizabeth Warren telah meminta penyelidikan keamanan nasional AS lainnya ke dalam sudut sektor kripto, mengkhususkan kekhawatiran terkait PancakeSwap, sebuah bursa terdesentralisasi yang dia tandai sebagai mencoba memperkuat koin-koin yang diterbitkan oleh World Liberty Financial Inc., yang terhubung dengan Presiden Donald Trump. Dia berkata bursa, yang beroperasi di beberapa blockchain dan merupakan protokol utama di rantai Binance, harus ditinjau keterkaitannya dengan "pengaruh politik yang tidak semestinya oleh Pemerintahan Trump terhadap keputusan penegakan hukum," kata Warren dalam sebuah surat hari Senin kepada Menteri Keuangan Scott Bessent dan Jaksa Agung Pam Bondi, meminta mereka untuk menyelidikinya, yang menggemakan sebuah permintaan serupa yang dia ikuti bulan lalu mengenai WLFI. “Seiring Kongres mempertimbangkan legislasi struktur pasar kripto — termasuk aturan untuk mencegah teroris, kriminal, dan negara nakal memanfaatkan keuangan terdesentralisasi (DeFi) untuk mendanai aktivitas mereka — sangat penting untuk memahami apakah Anda benar-benar menyelidiki risiko-risiko ini,” tulis Warren, yang merupakan Demokrat peringkat di Komite Perbankan Senat yang harus mengulas legislasi tersebut dan menyetujuinya sebelum Senat secara luas dapat melakukan pemungutan suara. — Jesse Hamilton Baca selengkapnya.
• The U.S. Federal Deposit Insurance Corp. telah meluncurkan usulan aturan resmi pertama yang berasal dari undang-undang baru yang mengatur penerbit stablecoin, dengan dewan direksinya memilih untuk membuka periode komentar publik selama 60 hari atas sistemnya dalam menangani aplikasi dari bank-bank yang diatur yang ingin menerbitkan stablecoin dari anak perusahaan mereka. Lembaga tersebut — dipimpin oleh Pelaksana Tugas Ketua Travis Hill, yang juga merupakan calon Presiden Donald Trump untuk kursi permanen — akan mengumpulkan komentar dan meninjaunya sebelum dapat merilis aturan final. Selasa proposal, disetujui oleh ketiga anggota dewan yang berjumlah sedikit, akan menetapkan prosedur untuk menerima aplikasi, meninjau mereka dalam jangka waktu persetujuan 120 hari dan menawarkan proses banding bagi yang ditolak. "Berdasarkan usulan tersebut, FDIC akan mengadopsi proses aplikasi yang disesuaikan yang memungkinkan FDIC untuk mengevaluasi keselamatan dan kesehatan aktivitas yang diusulkan oleh pemohon berdasarkan faktor-faktor hukum sambil meminimalkan beban regulasi pada pemohon," kata Hill, yang pencalonannya dapat dikonfirmasi sesegera mungkin minggu ini oleh Senat. Undang-Undang Pengarahan dan Pendirian Inovasi Nasional untuk Stablecoin AS (GENIUS) adalah undang-undang kripto utama pertama yang disetujui oleh Kongres, dan menetapkan beragam regulator yang kompleks bagi perusahaan yang ingin menerbitkan stablecoin, token yang terkait dengan dolar yang penting dalam transaksi di sektor aset digital. Untuk lembaga penyimpanan yang diasuransikan, FDIC adalah regulator yang ditunjuk. — Jesse Hamilton Baca selengkapnya.

Kalender

• 10-12 Feb, 2026: Konsensus, Hong Kong
• 17-21 Februari 2026: EthDenver, Denver
• 30 Mar-2 Apr 2026: EthCC, Cannes
• 15-16 Apr. 2026: Paris Blockchain Week, Paris
• 5-7 Mei 2026: Konsensus, Miami