#rsETHAttackUpdate

Eksploit rsETH: Penjelajahan Mendalam tentang Peretasan Terbesar DeFi Tahun 2026

Pada 18 April 2026, sekitar pukul 17:35 UTC, ekosistem keuangan terdesentralisasi menyaksikan apa yang telah menjadi eksploit terbesar tahun ini ketika penyerang menguras sekitar 116.500 token rsETH dari jembatan yang didukung LayerZero milik Kelp DAO, yang bernilai sekitar $292 juta dan sekitar 18% dari pasokan token yang beredar. Insiden ini telah mengguncang seluruh lanskap DeFi, memicu respons darurat di berbagai protokol dan mengungkap kerentanan kritis dalam arsitektur jembatan lintas rantai.

**Bagaimana Serangan Terjadi**

Eksploit ini menargetkan rute LayerZero V2 Unichain ke Ethereum rsETH milik Kelp DAO, yang dikonfigurasi dengan celah keamanan kritis: pengaturan Jaringan Verifikasi Terdesentralisasi (DVN) a1-of-1. Penyerang berhasil memalsukan paket masuk dari Unichain ke Ethereum yang diverifikasi oleh satu attestasi DVN tanpa adanya transaksi pembakaran sumber yang sesuai. Paket berbahaya ini, dengan nonce 308, menipu adapter RSETH_OFT di Ethereum untuk melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang.

Invarian dasar jembatan—bahwa jumlah rsETH yang dikunci di adapter Ethereum harus selalu lebih besar dari atau sama dengan total rsETH yang dicetak di semua rantai jarak jauh—telah dilanggar. Saldo adapter turun dari 116.723 rsETH menjadi hanya 223 rsETH dalam satu blok. Penyerang mencoba paket palsu kedua (nonce 309) untuk tambahan 40.000 rsETH, tetapi eksekusi ini dibatalkan karena Kelp sudah memulai protokol pembekuan darurat.

**Strategi Kontaminasi DeFi**

Alih-alih hanya menyimpan aset yang dicuri, penyerang melaksanakan strategi canggih untuk memaksimalkan nilai ekstraksi. Dalam beberapa menit, 116.500 rsETH didistribusikan ke tujuh alamat cabang. Dari sana, dana mengikuti jalur yang berbeda: beberapa disuplai sebagai jaminan di Aave V3 di mainnet Ethereum, yang lain dijembatani ke Arbitrum untuk membuka posisi di rantai tersebut, dan beberapa dialihkan melalui tempat lain.

Penyerang menyetor 89.567 rsETH di berbagai pasar Aave, meminjam sekitar 82.650 WETH senilai $190,86 juta dan 821 wstETH senilai $2,33 juta. Faktor kesehatan posisi ini berkisar antara 1,01 dan 1,03, menunjukkan bahwa posisi tersebut sengaja dipertahankan dekat ambang likuidasi untuk memaksimalkan leverage sambil menghindari likuidasi paksa.

**Respon Protokol Segera**

Mekanisme pertahanan Aave aktif dalam beberapa jam setelah eksploit. Sekitar pukul 19:00 UTC pada 18 April, Penjaga Protokol membekukan semua cadangan rsETH dan wrsETH di seluruh penerapan Aave V3, menetapkan rasio pinjaman terhadap nilai menjadi nol. Tindakan ini menonaktifkan pasokan dan pinjaman baru sambil mempertahankan kemampuan pengelolaan posisi yang ada. Pasar yang terdampak meliputi Ethereum Core, Ethereum Prime, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma, dan zkSync.

Steward Risiko menerapkan penyesuaian tingkat bunga di berbagai rantai, mengurangi Slope2 menjadi 1,50% dan menurunkan tingkat pinjaman pada 100% utilisasi dari 8,5-10,5% menjadi 3,0% APR untuk memastikan keberlanjutan. Pada 20 April, WETH dibekukan di Core, Prime, Arbitrum, Base, Mantle, dan Linea untuk mencegah risiko menyebar ke cadangan lain termasuk stablecoin.

Protokol lain juga bergerak cepat. SparkLend, Fluid, dan Upshift menghentikan pasar rsETH mereka. Upshift secara khusus menghentikan setoran dan penarikan ke vault ETH Pertumbuhan Tinggi dan Kelp Gain, meskipun produk USDC dan AUSD-nya tetap tidak terpengaruh karena tidak memiliki eksposur rsETH.

**Eksposur Keuangan Saat Ini dan Skema Utang Buruk**

Hingga laporan terbaru, belum ada keputusan resmi dari Kelp terkait alokasi kerugian atau pemulihan yang dikonfirmasi secara publik. Saldo adapter saat ini sebesar 40.373 rsETH merupakan satu-satunya jaminan yang dikonfirmasi untuk semua rsETH lintas rantai jarak jauh di semua jalur L2, terhadap klaim jarak jauh total sebesar 152.577 rsETH. Ini menciptakan kesenjangan jaminan yang signifikan yang dapat mempengaruhi penilaian token di seluruh ekosistem.

Variabel terbuka yang mempengaruhi resolusi akhir meliputi batas sosialiasi—apakah ada potongan harga yang berlaku untuk semua pemegang rsETH atau hanya mereka di rantai yang terdampak, yang sendiri mengubah dampak per token sekitar lima kali—ukuran dan waktu pemulihan atau recapitalisasi, mekanisme penetapan harga penebusan, dan perlakuan terhadap rsETH yang dicetak melalui jalur jembatan yang dikompromikan.

**Upaya Pemulihan Industri Secara Luas**

Respons terhadap krisis ini menunjukkan sifat kolaboratif dari ekosistem DeFi. Dana pemulihan "DeFi United" yang terkoordinasi telah diluncurkan dengan kontribusi besar dari pemain utama. Yayasan Golem dan Factory telah menjanjikan 1.000 ETH, sementara Lido Labs berkomitmen $5,7 juta. Pendiri Aave, Stani Kulechov, secara pribadi menyumbang 5.000 ETH untuk upaya pemulihan. Yayasan Ink telah memberikan dukungan yang tidak diungkapkan untuk upaya restorasi, dan lebih dari 1.800 peserta komunitas secara bulat menyetujui rencana penyelamatan ini.

**Dampak Pasar dan Risiko Berkelanjutan**

Eksploit ini memicu penarikan lebih dari ( miliar dari Aave, dengan tingkat utilisasi di pool USDC, USDT, dan wETH mencapai 100%. Token AAVE mengalami penurunan sekitar 11% setelah insiden. Token rsETH sendiri mengalami depegging secara signifikan, diperdagangkan serendah $1.723 pada titik tertentu.

Meskipun keparahannya, situasi telah stabil melalui aksi komunitas DeFi yang terkoordinasi. Pasar tetap dijamin meskipun tingkat utilisasi tinggi, dengan fokus saat ini pada pemulihan jaminan rsETH secara tertib. Namun, pengguna harus memantau saluran resmi dari Kelp DAO, Aave, dan LayerZero untuk resolusi akhir, karena situasi terus berkembang.

**Pelajaran dan Implikasi**

Insiden ini mengungkap kerentanan mendasar dalam arsitektur jembatan lintas rantai, terutama risiko yang terkait dengan konfigurasi DVN titik kegagalan tunggal. Desain restaking rsETH memperkuat risiko ini, menyoroti bagaimana kerentanan jaminan dapat berantai melalui protokol DeFi yang saling terhubung. Serangan ini menunjukkan pentingnya verifikasi multi-tanda tangan, sistem pemantauan yang kuat, dan kemampuan respons cepat dalam infrastruktur keuangan terdesentralisasi.

Eksploit rsETH menjadi pengingat keras bahwa meskipun DeFi menawarkan inovasi keuangan yang belum pernah terjadi sebelumnya, ia juga membawa risiko teknis signifikan yang memerlukan kewaspadaan konstan, praktik keamanan yang kokoh, dan mekanisme respons komunitas yang terkoordinasi untuk mengatasinya secara efektif.