Serangan rsETH, yang dimulai pada Sabtu malam, 18 April, meningkat dari satu kali peretasan jembatan menjadi salah satu krisis likuiditas terbesar dalam sejarah DeFi dalam waktu satu minggu. 116.500 rsETH, senilai sekitar $292 juta, dicetak melalui pesan palsu di jembatan rsETH berbasis LayerZero milik KelpDAO. Penyerang kemudian langsung menyetor token "tidak didukung" ini ke Aave, secara efektif meminjam aset nyata. Berikut ringkasan peristiwa minggu ini:

Bagaimana cara kerja serangan itu?

Menggunakan konfigurasi validator tunggal LayerZero (1-dari-1), jembatan KelpDAO memvalidasi pesan lzReceive palsu dari penyerang. Ini memungkinkan rsETH dicetak tanpa mengunci ETH di dompet.

rsETH ini kemudian disetor ke Aave V3 sebagai jaminan dalam hitungan menit. Protokol, secara alami, menerima permintaan tersebut, dan penyerang menarik sekitar $190 juta WETH, wstETH, dan stablecoin. Aave kemudian menyatakan bahwa "sistem bekerja sesuai desainnya, masalahnya adalah jaminan tersebut adalah palsu."

Token yang sama juga digunakan di pasar Aave di Arbitrum dan Base. Total defisit, menurut perkiraan awal, berkisar antara $123 juta dan $230 juta.

Bank run di Aave

Begitu berita menyebar, pengguna panik. Total pasokan di Aave, yang sebesar $45,8 miliar pada Sabtu malam, turun menjadi $30,8 miliar pada Rabu pagi. Outflow sekitar $15 miliar adalah penarikan tercepat dalam sejarah protokol.

Momen paling kritis adalah ketika kolam USDT dan USDC mencapai 100% penggunaan. Sekitar $5 miliar stablecoin menjadi tidak dapat digunakan karena peminjam gagal membayar kembali. Sementara pengguna memprotes dengan keluhan "uang saya terkunci" di X, token AAVE kehilangan 17,7% nilainya dalam tiga hari.

Manajemen Aave membekukan pasar rsETH di Ethereum, Arbitrum, dan Optimism. Penyetoran jaminan baru dan pinjaman dihentikan.

Pembekuan dan Pelacakan

Pada hari Senin, Dewan Keamanan Arbitrum membekukan 30.766 ETH, sekitar $71 juta, di dompet penyerang dan memindahkannya ke vault yang tidak diawasi. Ini memicu debat tentang desentralisasi, tetapi setidaknya sebagian uang berhasil dipulihkan.

Sisa dana sedang dicuci secara cepat. Detektif on-chain telah menentukan bahwa penyerang mengonversi 34.500 ETH, sekitar $175 juta, menjadi Bitcoin melalui THORChain. Jumlah yang lebih kecil dialihkan melalui protokol privasi Umbra. LayerZero menyebut serangan ini sebagai bagian dari sel "TraderTraitor" dari kelompok Lazarus yang terkait dengan Korea Utara.

DeFi Bersatu: Langkah Balik Sektor

Ada sesuatu yang tidak biasa terjadi di pertengahan minggu. Aave, Spark, Morpho, Curve, dan Mantle membentuk kolam pemulihan bernama "DeFi United." Tujuannya adalah membangun kembali jaminan untuk rsETH.

Awalnya, 43.500 ETH, sekitar $101 juta, disetor ke kolam bersama.
Mantle membuka jalur kredit sebesar 30.000 ETH ke Aave dan menyatakan, "kami akan berkontribusi dari kas jika diperlukan."
Hingga saat ini, lebih dari $204 juta aset telah dilunasi, dan likuiditas mulai kembali normal.

Tim KelpDAO telah menghentikan semua kontrak rsETH dan sedang menulis ulang jembatan dengan LayerZero. LayerZero mengumumkan bahwa mereka telah membatalkan semua konfigurasi validator tunggal dan menghentikan penandatanganan pesan.

Jadi, bagaimana situasi rsETH sekarang?

Token ini masih belum mendukung ETH satu banding satu. Harganya diperdagangkan dengan diskon 6-8% di pasar. Aave belum memutuskan apakah akan mensosialisasikan kerugian tersebut. Tiga opsi ada di meja:

Cakupan kas Aave
Menyalurkan kerugian kepada pemegang rsETH
Buyback bertahap dengan kolam DeFi United

Masalah paling mendesak bagi pengguna adalah stablecoin yang terkunci. Aave mengatakan penarikan USDT/USDC akan dibuka saat pembayaran kembali dari peminjam meningkat.

Apa pelajarannya?

Serangan $292 juta menunjukkan bagaimana satu baris kesalahan konfigurasi dapat menghapus $14 miliar TVL DeFi. Proyek "infrastruktur" seperti LayerZero kini bertanggung jawab tidak hanya untuk kode, tetapi juga untuk keamanan operasional.

Data terbaru yang dibagikan di bawah tagar #rsETHAttackUpdate menunjukkan bahwa bagian terburuk dari krisis telah berlalu, tetapi luka belum sembuh. Pembekuan Arbitrum menyelamatkan $71 juta, DeFi United mengumpulkan $100 juta, tetapi masih ada defisit $120 juta.

Bagi sektor ini, ini adalah "tes kepercayaan" terbesar sejak keruntuhan Terra 2022. Jika Aave menyerap kerusakan, narasi "kode adalah hukum" dalam DeFi akan berganti menjadi narasi "asuransi komunitas." Jika tidak, proses hukum panjang akan dimulai antara pemegang rsETH dan deposan Aave.

Serangan yang dimulai seminggu lalu ini kini menjadi masalah tidak hanya bagi KelpDAO, tetapi juga seluruh ekosistem staking ulang.