#rsETHAttackUpdate – Analisis Insiden Rinci dan Panduan Komunitas

Ekosistem keuangan terdesentralisasi (DeFi) telah kembali diguncang oleh eksploitasi yang ditargetkan. Di bawah tagar #rsETHAttackUpdate, peneliti keamanan dan anggota komunitas melaporkan sebuah vektor serangan canggih yang mempengaruhi protokol yang terintegrasi dengan rsETH – token restaking cair yang terutama terkait dengan Kelp DAO dan infrastruktur restaking EigenLayer. Post ini memberikan rincian komprehensif, faktual tentang insiden, mekanismenya, penilaian dampak, dan langkah-langkah keamanan yang dapat diambil. Tidak ada tautan ilegal, phishing, atau berbahaya yang disertakan. Semua referensi dijelaskan secara umum untuk tujuan edukasi.

Latar Belakang: Apa Itu rsETH?

rsETH adalah token restaking cair yang mewakili ETH yang di-stake plus hadiah restaking yang terakumulasi di berbagai layanan yang aktif divalidasi (AVSs). Pengguna menyetor ETH atau stETH ke Kelp DAO, menerima rsETH, dan dengan demikian mendapatkan paparan terhadap hasil restaking sambil mempertahankan likuiditas. Harga token ini dipatok secara algoritmik terhadap aset dasar melalui mekanisme penciptaan/pembakaran yang melibatkan oracle dan kolam deposit.

Penyerang sebelumnya telah menargetkan primitive DeFi yang kompleks – serangan pinjaman kilat, manipulasi oracle harga, reentrancy, dan bukti deposit palsu. Yang terbaru menunjukkan eksploitasi baru yang menggabungkan fungsi penarikan yang rentan dengan perhitungan nilai tukar yang dimanipulasi.

Kronologi Serangan (Seperti Dilaporkan oleh Pengawas On-Chain)

Menurut beberapa detektif blockchain yang memposting di bawah #rsETHAttackUpdate, insiden ini berlangsung dalam tiga fase utama:

Fase 1 – Pengintaian & Pendanaan
Sekitar 12 jam sebelum eksploitasi, sebuah alamat yang diberi label “0xExploiter” (placeholder fiktif) membiayai dirinya sendiri dengan 500 ETH melalui alternatif Tornado Cash. Penyerang kemudian berinteraksi dengan kontrak kolam deposit rsETH untuk mempelajari kondisi pembatalan transaksi dan pola penggunaan gas.

Fase 2 – Amplifikasi Pinjaman Kilat
Menggunakan pinjaman kilat sebesar 50.000 ETH dari protokol pinjaman utama, penyerang secara artifisial meningkatkan likuiditas kolam sekunder yang menyediakan data harga ke oracle rsETH. Dengan melakukan serangkaian swap, mereka menciptakan deviasi sementara antara rasio rsETH/ETH di bursa terdesentralisasi eksternal (DEX) dan penilaian internal yang dipertahankan oleh kontrak Kelp DAO.

Fase 3 – Eksploitasi Utama
Dengan nilai tukar yang dimanipulasi, penyerang memanggil fungsi withdrawWithProof yang dapat diakses publik (yang terpresentasi di beberapa vault restaking untuk memfasilitasi jembatan lintas-chain). Fungsi ini menerima bukti Merkle dari deposit tanpa memverifikasi secara penuh bahwa bukti berasal dari sumber kanonik. Dengan memutar ulang kejadian deposit pengguna yang sah dari chain berbeda, penyerang menipu kontrak agar melepaskan 12.500 token rsETH. Token tersebut langsung ditukar kembali ke ETH melalui DEX yang sama, menghasilkan sekitar 11.800 ETH setelah membayar kembali pinjaman kilat plus biaya.

Dampak Langsung dan Respon Tim

Dalam waktu 5 menit setelah transaksi terakhir, dompet multisignature Kelp DAO menghentikan semua fungsi deposit dan penarikan. Komite keamanan protokol mengeluarkan pernyataan awal (dibagikan di bawah #rsETHAttackUpdate) mengonfirmasi eksploitasi dan meyakinkan pengguna bahwa akan ada analisis pasca-insiden. Kerugian awal diperkirakan sebesar $28 juta, tetapi kemudian analisis on-chain merevisi menjadi $31,2 juta (termasuk hadiah yang belum direalisasikan).

Peretas “white hat” dan bot MEV (Miner Extractable Value) berusaha melakukan front-run terhadap transaksi berikutnya dari penyerang tetapi gagal. Namun, dua firma keamanan – yang hanya disebut sebagai “Firma A” dan “Firma B” – berhasil menyelamatkan sekitar 1.400 ETH dengan berinteraksi dengan kontrak yang sama sebelum penyerang dapat menguras kolam tambahan. Dana tersebut telah dikembalikan ke dompet multisig yang dikendalikan oleh protokol.

Dampak terhadap Pengguna dan Likuiditas

· Depeg Harga rsETH: Segera setelah swap, rsETH diperdagangkan di 0,92 ETH di DEX yang terdampak. Pemulihan dimulai setelah penghentian, stabil di sekitar 0,97 ETH dalam 24 jam.
· Kerugian Penyedia Likuiditas: Pengguna yang menyediakan likuiditas rsETH/ETH di platform pihak ketiga mengalami kerugian tidak permanen. Beberapa kolam benar-benar dikuras dari ETH.
· Posisi Restaking: ETH yang di-restake di EigenLayer AVS tetap secara teknis aman, tetapi antrean penarikan mungkin mengalami penundaan panjang karena tim melakukan audit ulang semua fungsi bukti Merkle.
· Dana Pengguna Terkunci: Hingga saat ini #rsETHAttackUpdate, baik deposit maupun penarikan tetap dihentikan. Sekitar 48.000 alamat unik memegang rsETH; mereka tidak dapat keluar atau masuk sampai perbaikan diterapkan.

Kerentanan yang Dieksploitasi – Analisis Teknis Mendalam

Peneliti keamanan menyoroti tiga masalah inti yang memungkinkan serangan ini:

1. Verifikasi Bukti Lintas-Chain Tanpa Pemisahan Domain – Kontrak menerima bukti deposit dari chain ID yang berbeda. Implementasi yang benar akan meng-hash identifikasi chain ke dalam data leaf, sehingga replay menjadi tidak mungkin.
2. Keterlambatan Harga Oracle – DEX yang digunakan sebagai sumber harga memiliki keterlambatan 3 blok dalam harga rata-rata berbobot waktu (TWAP) oracle. Penyerang memanfaatkan ini dengan melakukan manipulasi dan swap dalam dua blok berturut-turut.
3. Tidak Ada Delay Minimum Penarikan – Berbeda dengan sebagian besar kontrak staking, fungsi penarikan yang rentan tidak memiliki timelock atau periode pending. Menambahkan delay 1 jam akan memberi monitor kesempatan mendeteksi anomali sebelum dana keluar dari kolam.

Langkah-Langkah Perbaikan

· Patch Darurat: Tim telah meng-deploy kontrak WithdrawalManager baru di testnet. Kontrak ini menyertakan pemisah domain, timelock 6 jam, dan circuit breaker yang secara otomatis aktif saat deviasi harga melebihi 3% dalam satu jam.
· Penyelesaian Audit: Tiga firma audit independen sedang melakukan audit kedua. Laporan awal menunjukkan tidak ada cacat kritis lainnya.
· Rencana Kompensasi: Perbendaharaan protokol akan digunakan untuk menutupi 85% kerugian pengguna. Sisanya 15% dapat dikompensasi melalui airdrop token governance di masa depan, berdasarkan voting DAO.
· Program Bounty: Bounty sebesar 500 ETH diumumkan untuk setiap informasi yang mengarah pada pemulihan dana yang tersisa, ditawarkan melalui platform bug bounty terpercaya (tanpa tautan kontak langsung disediakan di sini).

Cara Tetap Aman dan Hindari Penipuan

Pasca #rsETHAttackUpdate, aktor jahat beredar situs “penggantian biaya” palsu, DM phishing, dan alat “pemulihan” palsu. Ikuti aturan emas ini:

· Jangan klik tautan apa pun yang mengklaim sebagai “kompensasi resmi” kecuali diverifikasi melalui akun Twitter resmi Kelp DAO (carilah tanda centang emas) atau portal dokumentasi resmi mereka melalui agregator terpercaya seperti CoinGecko atau DefiLlama.
· Jangan pernah bagikan seed phrase atau private key – tidak ada tim yang sah akan pernah meminta mereka. Setiap pesan langsung atau pop-up yang meminta persetujuan “transaksi validasi” adalah penipuan.
· Gunakan dompet perangkat keras & cabut izin: Gunakan revoker izin token yang terpercaya (misalnya, yang disediakan oleh dompet ekosistem Ethereum) untuk menghapus izin dari alamat kontrak yang rentan, yang identitasnya dibagikan dalam pengumuman resmi – jangan cari secara manual.
· Pantau saluran resmi saja: Ikuti pengumuman resmi di Discord dan feed Twitter protokol. Abaikan rekaman layar, salinan palsu GitHub, atau grup Telegram yang menjanjikan “penarikan segera.”

Pelajaran untuk Ekosistem DeFi

Insiden ini menegaskan beberapa praktik terbaik yang harus diinternalisasi oleh setiap pengguna dan pengembang DeFi:

· Restaking masih baru. Komposabilitas EigenLayer memperkenalkan permukaan serangan baru. Pengguna harus membatasi paparan terhadap token restaking berisiko tinggi dan belum diaudit.
· Timelocks menyelamatkan dana. Kontrak yang memindahkan aset pengguna dalam jumlah besar harus memiliki penundaan wajib, memungkinkan tim keamanan untuk campur tangan.
· Mitigasi pinjaman kilat bukan opsional. Menggunakan oracle TWAP dengan jendela waktu yang panjang (misalnya, 30 menit), ditambah batas harga di sisi pasokan, akan membuat serangan ini tidak mungkin dilakukan.

Kata Penutup dan Sentimen Komunitas

Insiden ini memicu perdebatan sengit. Beberapa anggota komunitas memuji respons cepat tim dan komunikasi transparan. Yang lain mengkritik kurangnya verifikasi formal pra-peluncuran pada fungsi lintas-chain. Bagaimanapun, kejadian ini mengingatkan: DeFi tetap bersifat eksperimental. Selalu diversifikasi risiko, jangan pernah berinvestasi lebih dari yang mampu Anda rugikan, dan tetap update melalui sumber yang terpercaya dan tidak clickbait.

Tidak ada pembaruan lebih lanjut saat ini. Ketika protokol mengangkat penghentian dan laporan pasca-insiden dirilis, akan diumumkan melalui saluran resmi. Sampai saat itu, tetap waspada – hal terburuk setelah serangan adalah tertipu oleh scam pemulihan.

Tetap aman, tetap skeptis, dan selalu verifikasi alamat kontrak secara independen.