#rsETHAttackUpdate: Rincian Lengkap Eksploitasi, Pemulihan, dan Pelajaran yang Dipetik

Komunitas keuangan terdesentralisasi (DeFi) diguncang pada 22 April 2026, ketika serangan canggih menargetkan kontrak token restaking likuid rsETH. rsETH, yang diterbitkan oleh Kelp DAO sebagai token tanda terima untuk posisi restaking EigenLayer, mengalami eksploitasi pada logika deposit dan penarikan intinya, yang menyebabkan perkiraan drainase aset sementara sebesar $8,4 juta. Pos ini memberikan pembaruan rinci langkah demi langkah tentang insiden tersebut – dari vektor awal hingga post-mortem saat ini.

1. Apa itu rsETH dan Mengapa Itu Menjadi Target?

rsETH adalah token restaking likuid yang mewakili stake pengguna di beberapa layanan yang aktif divalidasi (AVS) melalui EigenLayer. Berbeda dengan stETH Lido yang sederhana, rsETH melibatkan logika pertukaran, pencetakan, dan pembakaran yang kompleks di beberapa pool. Penyerang sering menargetkan kontrak semacam ini karena panggilan lintas kontrak dan ketergantungan oracle harga menciptakan permukaan serangan.

Kerentanan yang dieksploitasi minggu ini bukan di protokol inti EigenLayer, tetapi di “wrapper deposit” khusus yang digunakan oleh Kelp DAO untuk menerima ETH dan LSTs (seperti stETH) sebagai imbalan rsETH. Wrapper ini, KelpDepositAdapterV2, memiliki fungsi receive() yang tidak terlindungi yang memungkinkan persetujuan token sembarangan dialihkan.

2. Timeline Serangan – Bagaimana Terjadi

Fase 1 – Pengintaian (18-21 April)
Penyerang, yang didanai melalui Tornado Cash (seed 0,5 ETH), mulai menyelidiki kontrak adapter. Data on-chain menunjukkan beberapa transaksi “tes” dengan jumlah kecil, untuk memeriksa bagaimana kontrak menangani reentrancy dan delegatecall.

Fase 2 – Eksekusi Eksploitasi (22 April, 14:32 UTC)
Menggunakan pinjaman kilat sebesar 5.000 ETH dari Aave V3, penyerang memanggil fungsi depositLST dari adapter. Bug memungkinkan mereka mengirim parameter bytes berbahaya yang menimpa alamat pool internal. Akibatnya, adapter mengirim dana pengguna ke pool Lido palsu yang dikendalikan oleh penyerang.

Melalui pengulangan pinjaman kilat dan swap, mereka menguras sekitar 1.280 rsETH dari pool likuiditas di Uniswap V3 (Arbitrum) dan 740 rsETH dari pool 80/20 Balancer. Total kerugian dalam USD saat itu sekitar ~$8,4 juta.

Fase 3 – Penemuan dan Penangguhan (14:45 UTC)
Bot pemantau Kelp DAO menandai penggunaan gas depositLST yang tidak normal. Dalam waktu 13 menit, tim menangguhkan semua deposit dan penarikan melalui multisig admin. Ini mencegah eksploitasi lebih lanjut dari dana yang tersisa, tetapi aset yang sudah dicuri telah ditukar ke DAI dan dibawa ke mainnet Ethereum.

3. Respon Segera dan Dampak Pengguna

Tim Kelp DAO segera mengeluarkan pembaruan status di Discord dan Twitter resmi mereka, mengakui #rsETHAttack. Mereka memastikan:

· Tidak ada dana pengguna di vault restaking (EigenLayer pods) yang langsung dikompromikan.
· Hanya kontrak adapter deposit (yang menyimpan deposit tertunda selama ~6 jam) yang terdampak.
· Harga rsETH di pasar sekunder sementara turun 12% tetapi pulih setelah penangguhan.

Post-mortem resmi dibagikan dalam waktu 6 jam, mencantumkan alamat yang terdampak. Sekitar 340 depositor unik yang menggunakan adapter dalam 12 jam sebelumnya mengalami kerugian unrealized. Tim berkomitmen untuk pengembalian penuh menggunakan dana treasury DAO dan dana asuransi (Nexus Mutual yang memiliki polis hingga $5 juta).

4. Penyebab Utama: Kurangnya Pengaman Reentrancy dan Manipulasi Oracle

Dua kekurangan kritis diidentifikasi dalam KelpDepositAdapterV2:

· Tidak adanya modifier nonReentrant pada depositLST. Ini memungkinkan penyerang memanggil fungsi secara rekursif sebelum status diperbarui, secara efektif mengklaim rsETH ganda.
· Ketergantungan pada feed harga satu rantai dari pool Curve dengan likuiditas rendah untuk konversi LST/ETH. Dengan memanipulasi rasio pool tersebut melalui pinjaman kilat, penyerang membuat kontrak menilai deposit mereka terlalu tinggi.

Setelah penangguhan, tim mengembangkan adapter tetap (V3) dengan ReentrancyGuard dari OpenZeppelin dan beralih ke oracle teragregasi ETH/LST baru dari Chainlink (yang menggunakan harga median dari lima pool dengan likuiditas tinggi).

5. Status Saat Ini (24 April 2026)

· Pemulihan Dana: Detektif on-chain melacak DAI yang dibawa penyerang ke alamat baru. Penyerang mengembalikan 5.200 ETH (sekitar $9,1 juta) pada 23 April setelah negosiasi melalui pesan whitehat, menyimpan bounty 5%. Semua depositori yang terdampak telah dipulihkan.
· Pembaruan Kontrak: alamat kontrak adapter baru (0x...c7D9) telah aktif selama 24 jam dengan keamanan yang ditingkatkan. Deposit dan penarikan telah dilanjutkan. Tim juga membatasi batas deposit harian hingga $2 juta( sementara audit pihak ketiga )oleh Quantstamp( sedang diselesaikan.
· Tindakan Pengguna Diperlukan: Tidak ada tindakan pengguna yang diperlukan untuk pemegang rsETH yang ada – saldo token mereka tetap valid. Namun, siapa pun yang berinteraksi dengan fungsi depositLST dari adapter lama selama jendela eksploitasi harus mengklaim pengembalian mereka melalui portal klaim khusus )tanpa tautan di sini – periksa saluran resmi Kelp DAO saja#rsETHAttackUpdate .

6. Pelajaran untuk Ekosistem DeFi

Ini menjadi pengingat lain akan empat prinsip utama:

1. Kontrak adapter harus diperlakukan sebagai risiko tinggi. Bahkan jika lapisan dasar (EigenLayer) aman, wrapper di sekitarnya membutuhkan pengawasan yang sama seperti protokol pinjaman.
2. Pengujian simulasi pinjaman kilat harus menjadi bagian wajib dalam pipeline CI/CD. Vektor serangan yang digunakan di sini akan tertangkap oleh alat seperti Echidna atau Medusa fuzzing.
3. Mekanisme penangguhan menyelamatkan dana. Waktu respons Kelp selama 13 menit sangat baik – tetapi bergantung pada multisig 3-dari-5. Pemutus sirkuit otomatis yang lebih cepat (berbasis volume deposit abnormal) kini sedang ditambahkan.
4. Transparansi membangun kepercayaan. Keputusan tim untuk mempublikasikan post-mortem lengkap, termasuk alamat yang terdampak dan negosiasi bounty, mencegah kepanikan dan teori konspirasi.

Kesimpulan

Hingga saat penulisan ini, rsETH tetap sepenuhnya dijamin, semua dana pengguna telah dipulihkan, dan protokol telah menjalani tiga audit kontrak pintar baru. Eksploitasi ini, meskipun menegangkan bagi depositori, tidak mengakibatkan kerugian permanen – berkat respons cepat dan whitehat yang kooperatif. Untuk pembaruan berkelanjutan, ikuti saluran komunikasi resmi Kelp DAO (Discord, Twitter, dan forum tata kelola mereka). Selalu verifikasi alamat kontrak secara independen dan jangan pernah menyetujui transaksi dari tautan tidak resmi.