Eksploitasi senilai $292 juta terhadap Kelp DAO telah memicu gelombang reaksi di seluruh industri kripto, dengan para pengembang dan pedagang memperingatkan bahwa insiden tersebut mengungkap kelemahan mendalam dalam cara keuangan terdesentralisasi (DeFi) dibangun.
Data yang dibagikan oleh para pelaku pasar menunjukkan bahwa dampak langsungnya menyebar jauh melampaui protokol yang diretas tersebut.
“Peretasan rsETH menyebabkan penarikan di semua protokol peminjaman, bahkan di Solana dan protokol yang tidak terdampak,” kata 0xngmi dalam sebuah unggahan pada hari Minggu, menunjuk pada arus keluar yang tajam termasuk “Aave: -6.200 juta (-23%) arus masuk bersih” dan penurunan yang lebih kecil namun signifikan di Morpho, Sky, dan JupLend. rsETH adalah ether yang di-restake dari protokol liquid restaking Kelp DAO dan merupakan Liquid Restaking Token (LRT) yang memungkinkan pengguna memperoleh imbalan staking dan restaking ether sambil menjaga aset mereka tetap likuid, bahkan saat aset tersebut terkunci dalam staking.
Tekanan itu dengan cepat berubah menjadi sesuatu yang lebih parah. Satu unggahan yang beredar luas oleh Josu San Martin menggambarkan tekanan likuiditas yang merembet di dalam pasar peminjaman: “Para deposan ETH tidak dapat menarik ETH sehingga mereka meminjam stablecoin untuk ‘menarik’ dana... Ini adalah penarikan massal (bank run) penuh pada AAVE.”
Meskipun Stani Kulechov, pendiri Aave, mengatakan bahwa eksploitasi tersebut bersifat eksternal dan kontrak protokol tidak terkompromi, para deposan panik. Total nilai terkunci (atau simpanan) turun dari $26,4 miliar pada 18 April menjadi hampir $20 miliar pada waktu pagi hari Minggu di AS, menurut DefiLlama. Token AAVE juga turun lebih dari 18% saat para deposan berebut untuk menarik uang mereka sepanjang akhir pekan.
Eksploitasi itu sendiri telah menjadi titik fokus bagi para insinyur dan pengembang.
Beberapa pengembang membantah asumsi awal bahwa masalah tersebut berasal dari infrastruktur inti. “Eksploitasi KelpDAO (~$290 juta) BUKANLAH bug protokol LayerZero. Ini adalah masalah konfigurasi dan studi kasus yang perlu dilihat oleh setiap proyek dengan token lintas rantai hari ini,” bunyi sebuah analisis teknis oleh cryptogoblin.
Utas tersebut merinci bagaimana satu titik verifikasi memungkinkan serangan itu terjadi. “Satu tanda tangan dan 116.500 rsETH muncul begitu saja di Ethereum,” kata unggahan tersebut, menggambarkan sebuah sistem di mana “kontrak [pintar] tidak rusak. Lapisan verifikasinya yang rusak,” klaim unggahan itu.
Pihak lain berpendapat bahwa masalahnya lebih dalam daripada sekadar pilihan pengaturan tunggal.
Seorang kritikus, yang menggunakan nama Fishy Catfish di X, membingkainya sebagai cacat desain, dengan menyatakan bahwa: “tidak ada batas bawah keamanan... Sebuah konfigurasi bisa berupa DVN 1/1 dan DVN yang Anda pilih bisa berupa node tunggal yang dijalankan oleh satu entitas.” DVN (Decentralized Verifier Network) dalam DeFi, khususnya dalam LayerZero V2, adalah entitas independen yang bertanggung jawab untuk memvalidasi dan membuktikan keaslian pesan yang dikirim di berbagai jaringan blockchain yang berbeda. Intinya, DVN memverifikasi hash pesan antara rantai asal dan rantai tujuan.
Untuk memperjelas poin tersebut, penulis membuat perbandingan di dunia nyata: “bayangkan jika produsen roller coaster mengizinkan taman hiburan untuk memutuskan sendiri spesifikasi keamanan minimumnya.” Intinya, penulis hanya mengatakan bahwa fleksibilitas tanpa pagar pembatas dapat menciptakan risiko tersembunyi.
Unggahan tersebut bahkan mengklaim bahwa pengaturan itulah yang menjadi masalah dalam desain tersebut. "Saya pribadi berpikir ini adalah desain yang cacat. Keamanan modular adalah ruang desain yang berharga, namun, rentang keamanan harus memiliki batas bawah keamanan bawaan yang cukup kuat, dan kemudian mengizinkan pelapisan keamanan tambahan di atasnya untuk kasus penggunaan bernilai tinggi."
Bukan hanya jumlah dan kompleksitas eksploitasi yang memicu kritik keras dan panik. Skala eksploitasi tersebut telah meningkatkan kekhawatiran.
Sekitar 116.500 rsETH, sekitar 18% dari pasokan, terdampak. Penyerang menipu lapisan pengiriman pesan lintas rantai LayerZero agar percaya bahwa instruksi yang valid telah tiba dari jaringan lain, yang memicu jembatan Kelp untuk melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang.
Protokol-protokol merespons dengan membekukan pasar dan menghentikan fitur-fitur. Aave menghentikan aktivitas rsETH. Lido menghentikan setoran yang terkait dengan aset tersebut. Proyek-proyek lain mengambil langkah serupa untuk membatasi paparan saat situasi berkembang.
Di luar perdebatan teknis, sentimen di seluruh kripto berubah menjadi sangat negatif. Satu unggahan mungkin menangkap pergeseran suasana hati dalam istilah yang blak-blakan: “DeFi sudah mati... ‘pakai saja aave’ sudah mati,” sambil menambahkan bahwa “Era kripto sudah berakhir” dan bertanya, “Jika Anda membaca ini - mengapa Anda masih di kripto?”
Meskipun tanggapan tersebut mungkin terdengar seperti reaksi berlebihan, jenis reaksi spontan seperti itu bukanlah hal yang aneh setelah eksploitasi besar, tetapi luasnya peristiwa ini sangat menonjol.
Serangan itu memengaruhi infrastruktur lintas rantai, model restaking, dan pasar peminjaman secara bersamaan. Ini juga mengikuti serangkaian insiden baru-baru ini. Peretasan ini terjadi di periode yang sangat tidak bersahabat bagi DeFi, khususnya bulan ini. Protokol perpetual berbasis Solana