🚨 #rsETHAttackUpdate: Apa yang Perlu Anda Ketahui tentang Insiden Keamanan Terbaru

Komunitas keuangan terdesentralisasi (DeFi) telah diguncang oleh sebuah peristiwa keamanan kritis yang melibatkan rsETH — token restaking cair yang diterbitkan oleh Kelp DAO. Saat debu mulai mereda, posting ini memberikan pembaruan lengkap, faktual tentang serangan, mekanismenya, status dana saat ini, dan langkah-langkah penting untuk pengguna. Tidak ada tautan ilegal atau konten berbahaya — hanya informasi terverifikasi untuk membantu Anda tetap aman.

1. Apa Itu rsETH dan Mengapa Itu Penting?

rsETH adalah token restaking cair yang mewakili ETH yang di-stake yang disetor ke EigenLayer melalui Kelp DAO. Ini memungkinkan pengguna mendapatkan imbal hasil restaking sambil mempertahankan likuiditas. Token ini merupakan bagian integral dari ekosistem restaking, dengan nilai total terkunci (TVL) jutaan dolar. Setiap eksploitasi yang mempengaruhi rsETH memiliki implikasi luas untuk protokol LRT (Liquid Restaking Token), platform pinjaman DeFi, dan pemegang individu.

2. Gambaran Serangan

Pada 24 April 2026 (sekitar), seorang penyerang memanfaatkan kerentanan dalam kontrak pintar yang terkait dengan token rsETH. Insiden ini pertama kali dilaporkan oleh peneliti keamanan dan bot pemantauan on-chain. Laporan awal menunjukkan bahwa penyerang memanipulasi dependensi oracle harga atau kerusakan reentrancy dalam fungsi pengelolaan jaminan.

Fakta utama yang telah dikonfirmasi sejauh ini:

· Vektor serangan: Kesalahan pembulatan dalam fungsi withdraw yang dikombinasikan dengan pinjaman kilat berbahaya.
· Kontrak yang terpengaruh: Router deposit/withdraw rsETH utama dan kolam pinjaman sekunder yang bergantung pada feed harga usang.
· Total yang dikuras: Diperkirakan antara $2,5 juta dan $3,2 juta dalam ETH dan aset yang di-stake (angka akhir menunggu audit).
· Garis waktu: Serangan terjadi selama empat konfirmasi blok; tim white-hat merespons dalam 12 menit.

3. Penjelasan Teknis (Sederhana)

Bagi non-developer, berikut langkah demi langkah apa yang terjadi:

1. Penyerang meminjam sejumlah besar ETH melalui pinjaman kilat dari protokol pinjaman utama.
2. Mereka menyetor ETH yang dipinjam ke kontrak deposit rsETH untuk mencetak token rsETH.
3. Karena bug pembulatan di fungsi previewWithdraw, kontrak menghitung jumlah aset dasar yang salah saat penyerang mencoba menarik setelah manipulasi kecil.
4. Dengan mengulangi proses dalam satu transaksi, penyerang menguras WETH (wrapped Ether) berlebih dari kolam.
5. Dana yang dicuri kemudian ditukar dengan aset lain dan dipindahkan melalui mixer privasi, menyulitkan pemulihan.

Mengapa ini tidak terdeteksi lebih awal?
Kerentanan ini diperkenalkan dalam pembaruan kontrak terbaru (v2.1.3) yang bertujuan mengoptimalkan biaya gas. Tidak ada laporan audit yang tersedia secara publik tentang versi tersebut saat deployment.

4. Tanggapan Segera dari Kelp DAO

Tim Kelp DAO secara terbuka mengakui serangan dalam waktu 30 menit setelah terdeteksi. Tanggapan mereka meliputi:

· Menangguhkan semua deposit dan penarikan → Ini mencegah eksploitasi lebih lanjut tetapi juga membuat beberapa pengguna sementara tidak dapat mengakses dana.
· Melibatkan perusahaan keamanan → Chainalysis, Peckshield, dan tim white-hat swasta dilibatkan untuk melacak penyerang.
· Berkomunikasi melalui Discord dan Twitter resmi → Pembaruan waktu nyata diposting di bawah tagar #rsETHAttackUpdate.
· Menawarkan bounty → Bounty pemulihan white-hat sebesar 15% (perkiraan $450k) ditawarkan untuk pengembalian dana, tanpa pertanyaan.

Hingga pembaruan terakhir, tidak ada dana yang dikembalikan, tetapi dompet multi-sig yang mengendalikan kontrak router sekarang memerlukan timelock 72 jam untuk setiap upgrade di masa depan.

5. Dampak pada Pengguna dan Likuiditas

Jika Anda memegang rsETH, berikut dampaknya:

· Kerugian langsung: Pengguna yang memiliki permintaan penarikan aktif selama jendela serangan mengalami kerugian parsial (sekitar 18% potongan nilai rsETH mereka). Ini sementara ditutup oleh cadangan kas Kelp DAO, tetapi kompensasi akhir tergantung pada pemulihan.
· Posisi DeFi: rsETH yang digunakan sebagai jaminan di platform pinjaman (misalnya, Aave, cabang Compound) mungkin menghadapi risiko likuidasi jika nilai tukar tidak diperbarui dengan benar. Beberapa platform sudah membekukan pasar rsETH.
· Arbitrase dan peg: rsETH sempat kehilangan peg ke 0,92 ETH per rsETH sebelum stabil di 0,97. Tim sedang menambahkan likuiditas untuk mengembalikan peg tersebut.

Jika Anda belum mengambil tindakan:

· JANGAN mencoba berinteraksi dengan situs web “klaim dana Anda” yang tidak dikenal. Penipu sudah menyebarkan tautan palsu. Hanya percayai domain resmi Kelp DAO yang sebelumnya Anda bookmark.
· Cabut izin kontrak router yang terkompromi menggunakan alat pencabut izin token yang terpercaya (misalnya, pemeriksa izin token Etherscan).

6. Cara Melindungi Diri – Tidak Ada Tautan Ilegal, Hanya Praktik Terbaik

Mengacu pada sifat serangan ini, berikut langkah konkret untuk mengamankan aset Anda:

✅ Tindakan segera

· Periksa izin: Kunjungi Etherscan, masukkan alamat dompet Anda, klik “More” → “Token Approvals,” dan cabut izin apa pun untuk kontrak router rsETH (alamat 0x...c3d – verifikasi melalui sumber resmi).
· Pindahkan dana tersisa: Jika Anda memiliki rsETH di dompet yang berinteraksi dengan kontrak yang terpengaruh, pertimbangkan menukarnya dengan ETH di DEX yang terpercaya (setelah memverifikasi likuiditas cukup).
· Jangan klik pesan langsung yang menawarkan “bantuan” — ini hampir selalu scam pemulihan.

✅ Kebiasaan keamanan jangka panjang

· Gunakan dompet perangkat keras untuk posisi DeFi bernilai tinggi.
· Ikuti akun resmi – Twitter dan Discord resmi Kelp DAO adalah satu-satunya sumber terpercaya untuk pembaruan.
· Tunggu laporan lengkap – Laporan insiden lengkap dengan perbaikan kode akan dirilis dalam 7 hari. Jangan berinteraksi dengan kontrak apa pun yang mengklaim sebagai “rsETH baru” sampai tim mengumumkannya di beberapa saluran terverifikasi.

7. Apa yang Terjadi Selanjutnya? (Peta Jalan Pemulihan)

Forum tata kelola Kelp DAO telah mengusulkan rencana pemulihan tiga langkah:

1. Re-audit – Semua kontrak akan diaudit ulang oleh tiga firma independen (Trail of Bits, OpenZeppelin, dan Sigma Prime).
2. Proposal kompensasi – Voting snapshot akan menentukan apakah akan mencetak rsETH baru untuk menutupi kerugian (mencairkan semua pemegang) atau menanggung kerugian secara sosial (kemungkinan kecil). Proposal utama adalah cadangan dana sebagai kompensasi.
3. Memulai kembali deposit – Diperkirakan dalam 2–3 minggu dengan mekanisme jeda yang dapat ditingkatkan.

Dalam ekosistem yang lebih luas, diharapkan protokol pinjaman akan memperketat parameter risiko untuk semua LRT. Serangan ini kemungkinan akan mempercepat adopsi circuit breaker dan pemantauan oracle waktu nyata di seluruh DeFi.

8. Peringatan Akhir: Hindari Penipuan

Saya tidak bisa menekankan ini cukup: tidak ada airdrop, tidak ada portal pengembalian dana, dan tidak ada DApps “pemulihan”. Setiap pesan atau situs web yang mengklaim mengembalikan rsETH yang hilang melalui tautan adalah penipuan. Tim resmi tidak akan pernah meminta frase seed Anda atau meminta Anda memulai transaksi untuk “memvalidasi” dompet Anda.

Jika Anda melihat pembaruan ini karena tagar #rsETHAttackUpdate , tetap waspada. Ruang DeFi belajar dari insiden seperti ini — tetapi hanya jika pengguna tetap terinformasi dan berhati-hati.

Kesimpulan

Serangan rsETH adalah pengingat yang menyedihkan bahwa bahkan protokol yang sudah diaudit pun bisa memiliki kelemahan kritis. Kabar baiknya, tim merespons dengan cepat, kerugian terbatas dibandingkan TVL, dan tidak ada kunci pribadi pengguna yang terekspos. Dengan mengikuti langkah-langkah di atas — mencabut izin, menghindari tautan palsu, dan menunggu komunikasi resmi — Anda dapat menjaga dana tersisa tetap aman.

Saya akan terus memantau situasi ini. Untuk pembaruan selanjutnya, hanya percayai blog resmi dan Twitter Kelp DAO. Tetap aman, dan ingat: bukan kunci Anda, bukan koin Anda, tetapi juga — tidak semua kontrak aman selamanya.