#rsETHAttackUpdate

Pembaruan Serangan rsETH — Kisah Lengkap yang Perlu Didengar DeFi

Enam hari telah berlalu sejak salah satu eksploit terbesar dalam sejarah keuangan terdesentralisasi terjadi secara langsung. Jika Anda memantau posisi Aave Anda, jaminan rsETH Anda, atau portofolio DeFi Anda yang berantakan pada akhir pekan 18 April, Anda tidak sedang berimajinasi. Sesuatu yang benar-benar serius telah terjadi — dan dampaknya masih berkembang aktif hingga hari ini, 24 April 2026. Saya ingin menelusuri seluruh rangkaian kejadian, dari pelanggaran awal hingga upaya pemulihan terkoordinasi yang sedang berlangsung, karena cerita ini layak mendapatkan penjelasan yang jelas dan jujur tanpa kebisingan.

Apa yang Sebenarnya Terjadi Pada 18 April

Pada 18 April 2026 pukul 17:35 UTC, di blok Ethereum 24.908.285, seorang penyerang mengeksploitasi LayerZero V2 Unichain Kelp ke rute rsETH Ethereum.

Untuk memahami mengapa ini memungkinkan, Anda perlu memahami satu detail penting tentang bagaimana jembatan itu dikonfigurasi.

Kelp DAO mengonfigurasi integrasinya dengan model keamanan paling lemah — pengaturan Jaringan Verifikasi Terdesentralisasi 1-dari-1. Ini memberikan satu node validator, yang dioperasikan oleh LayerZero Labs, otoritas penuh untuk menyetujui pesan lintas rantai.

Secara praktis, ini berarti bahwa jika seseorang dapat mengompromikan atau memalsukan validator tunggal itu, seluruh jembatan pun terkompromi. Tidak ada redundansi. Tidak ada pemeriksaan kedua. Satu titik kegagalan, melindungi ratusan juta dolar aset.

Penyerang memanipulasi infrastruktur pesan lintas rantai LayerZero sehingga memperlakukan instruksi palsu sebagai sah, menyebabkan jembatan Kelp melepaskan token yang dicuri ke dompet yang dikendalikan penyerang. Pelanggaran terjadi pukul 17:35 UTC, sementara multisig darurat Kelp hanya berhasil membekukan kontrak inti 46 menit kemudian. Waktu 46 menit itu adalah semua yang dibutuhkan penyerang.

Sekitar 116.500 token rsETH dibuka melalui sisi Ethereum dari jembatan tanpa memicu acara pembakaran di jaringan asal. Ini adalah inti dari apa yang membuat serangan ini begitu merusak — token yang dilepaskan di sisi Ethereum tidak memiliki jaminan yang sah di mana pun. Mereka, dalam efeknya, adalah palsu.

Bagaimana Penyerang Mengubah Token Palsu Menjadi Uang Asli

Ini bagian yang mengungkapkan betapa canggihnya serangan ini. Sekadar mencetak token tanpa jaminan adalah satu hal. Mengubahnya menjadi nilai nyata sebelum orang menyadarinya adalah tingkat yang sama sekali berbeda.

Seorang penyerang tak dikenal memanipulasi sistem pesan lintas rantai, berhasil mencetak 116.500 token rsETH tanpa jaminan. Hampir 90.000 dari token ini kemudian digunakan sebagai jaminan di platform Aave, memungkinkan penyerang meminjam sekitar 190 juta dolar dalam Ethereum dan aset lainnya.

Total hasilnya sekitar 292 juta dolar, mengklaim sekitar 18 persen dari total pasokan rsETH yang beredar, menjadikannya eksploitasi keuangan terdesentralisasi terbesar yang tercatat pada 2026.

Sisa dana yang dicuri dibawa ke jembatan dan ditukar ke bitcoin melalui Thorchain, membuat pemulihan menjadi jauh lebih kompleks.

Contagio yang Mengikuti

Dampak langsung dari eksploitasi ini tidak terbatas pada KelpDAO atau bahkan Aave. Sifat saling terhubung dari protokol DeFi berarti gelombang kejut menyebar hampir seketika ke seluruh ekosistem.

Aave membekukan pasar pinjaman rsETH di V3 dan V4, menyebabkan token AAVE turun sekitar 10 persen. SparkLend dan Fluid mengikuti dengan pembekuan serupa. Lido Finance menghentikan deposit ke produk earnETH yang terpapar rsETH sambil memastikan stETH dan wstETH tetap tidak terpengaruh.

Respon pengguna langsung dan keras. Aave kehilangan 8,45 miliar dolar dalam deposit selama 48 jam setelah serangan, mendorong penurunan nilai terkunci secara keseluruhan sebesar 13,21 miliar dolar di seluruh platform DeFi.

Penyerang menukar rsETH tanpa jaminan tersebut dengan WETH dan stablecoin di Aave dengan memanfaatkan kerentanan infrastruktur KelpDAO. Kontrak aETHrsETH Aave memegang sekitar 83 persen dari rsETH yang beredar, memusatkan eksposur secara besar-besaran pada protokol pinjaman.

Skala Kerusakan Khususnya Pada Aave

Analisis kejadian memperkirakan Aave menghadapi potensi kerugian buruk antara 124 juta dan 230 juta dolar terkait token yang dikuras, dan total nilai terkunci Aave turun 33 persen dalam 72 jam.

Jumlah kerugian total diperkirakan lebih dari 112.000 rsETH. Angka ini adalah inti masalah yang saat ini sedang ditangani oleh seluruh inisiatif DeFi United.

Dimulai pukul 18:52 UTC pada 18 April, Guardian Aave memulai pembekuan langsung pada pasar rsETH dan wrsETH di semua deployment tempat aset tersebut terdaftar.

Respon DeFi United

Apa yang terjadi dalam beberapa hari sejak serangan adalah salah satu respons terkoordinasi terbesar yang pernah dilakukan oleh ekosistem DeFi.

Aave meluncurkan inisiatif DeFi United bersama beberapa perusahaan kripto untuk menangani kerugian sebesar 292 juta dolar yang disebabkan oleh eksploitasi KelpDAO dan menstabilkan jaminan rsETH. Pemain utama termasuk EtherFi, Golem Foundation, dan Mantle turut menyumbang dana dan dukungan.

Lido Finance adalah peserta publik pertama, mengusulkan hingga 2.500 ETH yang dipertaruhkan. EtherFi mengusulkan 5.000 ETH, sementara pendiri Aave Stani Kulechov juga berjanji menyumbang 5.000 ETH secara pribadi.

Golem Foundation menyumbang 1.000 ETH, dan beberapa kontributor lain telah bergabung dalam upaya pemulihan ini.

Dewan Keamanan Arbitrum membekukan 30.766 ETH terkait eksploitasi, menandai langkah awal penting dalam pemulihan.

Apa yang Diungkapkan tentang Kerentanan Struktural DeFi

Eksploitasi rsETH bukanlah kerentanan kontrak pintar. Itu adalah kegagalan konfigurasi jembatan.

Pengaturan DVN 1-dari-1 menciptakan satu titik kegagalan yang mengamankan ratusan juta aset. Ini adalah masalah inti yang harus dihadapi industri sekarang.

Jembatan lintas rantai tetap menjadi salah satu permukaan serangan yang paling sering dieksploitasi dalam DeFi.

Di Mana Posisi Saat Ini

Per 24 April 2026, pasar rsETH tetap dihentikan. Upaya pemulihan sedang berlangsung di bawah DeFi United, tetapi kekurangan dana masih lebih dari 100.000 ETH.

Sebagian dana dibekukan, tetapi sebagian besar aset yang dipindahkan melalui Thorchain ke Bitcoin belum dipulihkan.

Tidak ada garis waktu yang dikonfirmasi untuk membuka kembali pasar rsETH.

Apa Artinya Ini untuk Masa Depan DeFi

Ini adalah pukulan serius terhadap kepercayaan DeFi. Eksploitasi sebesar 292 juta dolar dan keluarnya likuiditas besar-besaran bukanlah peristiwa kecil.

Namun, respons terkoordinasi menunjukkan kedewasaan yang semakin berkembang dalam ekosistem. Beberapa protokol yang turun tangan untuk menanggung kerugian menandai pergeseran menuju tanggung jawab kolektif.

Pelajaran dari serangan ini akan membentuk keamanan jembatan dan manajemen risiko di seluruh DeFi ke depan.

Tetaplah terinformasi dan pantau pembaruan resmi dengan saksama.