Bidang keamanan DeFi kembali mengalami kemunduran besar, kontrak jembatan rsETH Kelp DAO mengalami serangan besar-besaran, mengakibatkan kerugian hingga hampir $292 juta. Peristiwa ini dengan cepat memicu kekhawatiran luas di pasar kripto, terutama setelah aset yang dicuri mengalir ke Aave dan protokol pinjaman utama lainnya, menimbulkan kepanikan tentang pinjaman macet dan risiko protokol yang lebih luas.
Kronologi Peretasan Kelp DAO
Penyerang memanfaatkan kerentanan dalam kontrak jembatan rsETH yang dibangun di atas LayerZero, mencuri sekitar 116.500 rsETH (senilai sekitar $292 juta). Catatan on-chain menunjukkan bahwa penyerang memicu fungsi lzReceive melalui kontrak EndpointV2 LayerZero, memungkinkan aset jembatan dialihkan ke dompet yang dikendalikan peretas.
Analisis Teknik Serangan
Peneliti keamanan percaya bahwa kebocoran kunci pribadi di rantai sumber adalah akar peristiwa ini, yang memungkinkan pesan jahat yang tampak sah melewati sistem jembatan. Karena kontrak ini menggunakan pengaturan validator 1/1, satu validator yang dikompromikan menjadi titik kegagalan tunggal yang berbahaya.
Mengapa Aave Terlibat
Peretas menggunakan rsETH yang dicuri sebagai jaminan untuk melakukan pinjaman besar-besaran melalui WETH yang lebih likuid. Ketika penyerang menyimpan hasil curian ke Aave V3, Compound V3, dan Euler, total pinjaman melebihi $236 juta, dengan Aave saja menanggung risiko hampir $196 juta.
Tanggapan Krisis Aave
Aave dengan cepat membekukan pasar rsETH versi V3 dan V4, menghentikan deposit baru dan melarang pinjaman aset terkait. Tim menekankan bahwa protokol itu sendiri tidak diserang secara langsung, tetapi untuk mencegah potensi pinjaman macet dari dana yang dipinjam, mereka telah mempersiapkan modul keamanan Umbrella untuk mengatasi kerugian potensial.
Pelajaran dari Peristiwa Ini
Serangan ini mengungkapkan bagaimana kegagalan satu protokol dapat dengan cepat menyebar ke banyak platform. Meskipun kerentanan berasal dari Kelp DAO, aliran hasil curian ke protokol pinjaman seperti Aave memicu refleksi mendalam tentang likuiditas, keamanan jaminan, dan apakah platform DeFi teratas dapat sepenuhnya mengisolasi risiko eksternal.
Kesimpulan
Peristiwa Kelp DAO dengan kerugian $292 juta menjadi salah satu serangan DeFi terparah tahun ini, dan semakin menarik perhatian karena dampak berantainya pada protokol utama seperti Aave. Peristiwa ini tidak hanya menyoroti risiko sistemik yang dapat ditimbulkan oleh kerentanan jembatan lintas rantai, tetapi juga mengingatkan pengguna: bahkan platform DeFi terkemuka pun sulit sepenuhnya menghindari dampak dari kerentanan kontrak eksternal.
