Post-mortem : Bagaimana $272 Jutaan rsETH Hack Terjadi

​Pada 18 April 2026, sifat saling terhubung dari keuangan terdesentralisasi mengubah kerentanan eksternal menjadi krisis sistemik yang katastrofik bagi Aave. Serangan canggih terhadap infrastruktur lintas rantai Kelp DAO mengakibatkan pencurian lebih dari $292 Jutaan token restaking cair. Dengan memanfaatkan parameter risiko agresif Aave, para penyerang mengekstrak $272 Jutaan WETH, meninggalkan deposan biasa menghadapi kerugian permanen dan mengungkap kelemahan fatal dari arsitektur DeFi yang sangat komposabel.

​❍ Pelanggaran Jembatan LayerZero

​Krisis dimulai secara eksternal di jembatan adapter lintas rantai Kelp DAO, yang didukung oleh infrastruktur LayerZero.

​Manipulasi: Penyerang menggunakan payload pesan palsu untuk memanipulasi lapisan verifikasi kompleks dari jembatan, memberikan mereka izin tingkat admin.

​Hasil: Manipulasi teknis ini memungkinkan mereka menguras 116.500 token rsETH langsung ke dompet yang dikendalikan penyerang.

​Skala Besar: Jumlah ini mewakili sekitar 18 persen dari pasokan beredar rsETH secara global, dengan nilai lebih dari $292 Jutaan.

​❍ Memanfaatkan Mode Efisiensi Aave

​Para penyerang segera menargetkan kolam likuiditas dalam di Aave, menyetor rsETH yang dicuri sebagai jaminan di seluruh deployment V3 dan V4.

​Ekstraksi Maksimal: Dengan menggunakan Mode Efisiensi Aave (E-Mode), yang mengkategorikan rsETH sebagai sangat berkorelasi dengan ether asli, para penyerang mengamankan rasio pinjaman terhadap nilai sebesar 93 persen. Di bawah parameter risiko standar, batas pinjaman ini akan dibatasi secara ketat pada 72 persen.

​Pengurasan: Parameter agresif ini memungkinkan mereka mengekstrak $272 Jutaan WETH terhadap jaminan yang tidak didukung. Konfigurasi E-Mode memungkinkan mereka mengekstrak $62 Jutaan lebih banyak dari yang diizinkan pengaturan standar.

​Utilisasi 100 Persen: Saat nilai pasar riil dari rsETH runtuh secara instan, logika internal Aave menunda pembaruan harga. Protokol menyerap jaminan yang tidak berharga ini, mendorong tingkat utilisasi pool WETH tepat 100 persen dan mengunci deposan sah dari dana mereka.

​❍ Kegagalan Payung dan Depositor Menghadapi Pemotongan

​Guardian Aave menjalankan protokol darurat, menghentikan semua pasar rsETH dan wrsETH untuk mengendalikan penyebaran. Ini memicu Umbrella, sistem manajemen risiko otomatis di chain yang menggantikan Modul Keamanan warisan pada akhir 2025.

​Kekurangan: Umbrella secara otomatis membakar aset yang dipertaruhkan untuk menutupi utang buruk, tetapi vault hanya menyimpan $50 Jutaan aWETH yang tersedia untuk pemotongan langsung.

​Kesenjangan Pendanaan: Dengan total utang buruk diperkirakan antara $177 Jutaan dan $280 Jutaan, protokol menghadapi kesenjangan pendanaan yang tidak dapat diselesaikan berkisar dari $127 Jutaan hingga $150 Jutaan.

​Pemotongan Wajib: Dokumentasi resmi protokol menyatakan bahwa setelah aset jaminan Umbrella terbakar sepenuhnya, defisit yang tersisa langsung menjadi tanggung jawab deposan WETH biasa. Pengguna ini sekarang menghadapi pemotongan wajib, yang menandakan kerugian parsial permanen dari deposit utama mereka.

​Beberapa Pemikiran Acak 💭

​Peristiwa ini adalah pelajaran keras tentang bahaya komposabilitas DeFi. Kontrak pintar inti Aave berjalan tanpa cela, namun protokol tetap terjatuh. Eksploitasi berasal sepenuhnya dari luar ekosistem Aave di jembatan Kelp DAO, tetapi parameter internal agresif Aave berfungsi sebagai katalis utama untuk ekstraksi tersebut. Ketika sebuah protokol bergantung sepenuhnya pada logika matematis tanpa pengawasan manusia yang konservatif, kasus ekstrem berubah menjadi kegagalan sistemik.

Keputusan untuk memberikan rasio pinjaman terhadap nilai sebesar 93 persen pada aset derivatif seperti rsETH memprioritaskan efisiensi modal di atas kelangsungan hidup. Bagi deposan WETH biasa yang harus menyerap pemotongan besar, perbedaan antara kontrak pintar tanpa cela dan model risiko yang cacat tidak menawarkan kenyamanan sama sekali.

#KelpDAOBridgeHacked