Eksploitasi sebesar $292 juta selama akhir pekan telah mengguncang industri kripto, mengekspos kerentanan dalam infrastruktur keuangan terdesentralisasi (DeFi) dan menimbulkan kekhawatiran tentang efek berantai terhadap protokol peminjaman.
Sementara penyelidikan masih berlangsung, analisis awal menunjukkan serangan tersebut berpusat pada token rsETH Kelp — versi ether (ETH) yang menghasilkan imbal hasil — dan mekanisme yang digunakan untuk memindahkan aset antar blockchain.
Penyerang tampaknya telah memanipulasi sistem tersebut untuk menciptakan sejumlah besar token tanpa dukungan yang memadai, lalu dengan cepat menggunakannya sebagai jaminan untuk meminjam dan menarik aset nyata dari pasar pinjaman, sebagian besar dari Aave AAVE$90.11, pemberi pinjaman kripto terdesentralisasi terbesar.
Insiden ini merupakan pukulan terbaru terhadap DeFi, terjadi hanya beberapa minggu setelah eksploitasi senilai $285 juta terhadap protokol berbasis Solana, Drift, yang semakin merusak kepercayaan investor terhadap sektor kripto senilai hampir $90 miliar.
Secara umum, eksploitasi tersebut menargetkan komponen jembatan LayerZero — sebuah bagian infrastruktur yang memungkinkan aset bergerak di antara blockchain yang berbeda, kata Charles Guillemet, CTO pembuat dompet perangkat keras Ledger, dalam catatan kepada CoinDesk.
Jembatan biasanya bekerja dengan mengunci aset di satu rantai dan mencetak token setara di rantai lain. Proses ini bergantung pada entitas yang dipercaya — sering disebut oracle atau validator — untuk mengonfirmasi setoran.
Dalam kasus ini, Kelp secara efektif bertindak sebagai verifier tersebut. Menurut Guillemet, sistem ini mengandalkan pengaturan single-signer, yang berarti hanya satu entitas yang dapat menyetujui semua transaksi.
"Sepertinya penyerang mampu menandatangani pesan ... memungkinkannya mencetak jumlah besar rsETH," katanya. Ia menambahkan bahwa masih belum jelas bagaimana akses tersebut diperoleh.
Michael Egorov, pendiri Curve Finance, menunjukkan kelemahan yang sama dalam konfigurasi sistem.
Hal-hal bisa terjadi ketika Anda mempercayai satu pihak saja — siapa pun itu.
Pengaturan itu memungkinkan penyerang untuk secara efektif menciptakan token tanpa jaminan, meskipun tidak ada aset yang dikunci di rantai sumber.
Setelah dicetak, token-token tersebut segera dideploy. "Segera setelah itu, pelaku menyetorkannya ke protokol pinjaman, sebagian besar Aave, untuk meminjam ETH asli sebagai jaminan," jelas Guillemet.
Manuver tersebut menggeser masalah dari satu eksploitasi tunggal menjadi masalah pasar yang lebih luas. Platform pinjaman DeFi kini terpaksa memegang jaminan yang mungkin sulit untuk dilepaskan, sementara aset berharga dan likuid sudah habis.
"Aave dibiarkan dengan rsETH yang tidak bisa dijual dan ETH maxborrowed [sic], sehingga tidak ada yang bisa menarik ETH," kata Egorov dari Curve.
Sebagai hasilnya, Aave dan protokol pinjaman lainnya mungkin memiliki ratusan juta dolar dalam jaminan yang diragukan dan utang macet, dia memperingatkan, meningkatkan kekhawatiran akan dinamika "bank run" saat pengguna berbondong-bondong menarik dana.
Aave mengalami penurunan aset sekitar $6 miliar di protokol tersebut saat pengguna menarik aset mereka setelah insiden tersebut. token yang terkait dengan protokol tersebut turun sekitar 15% selama perdagangan 24 jam terakhir.
Pertanyaan kunci masih tersisa mengenai bagaimana validator dikompromikan. Sistem ini mengandalkan node resmi LayerZero, menimbulkan ketidakpastian apakah itu diretas, salah konfigurasi, atau disesatkan.
"Apakah itu diretas? Apakah itu ditipu? Kami tidak tahu," kata Egorov.
Identitas pelaku juga tidak diketahui, meskipun Guillemet mengatakan skala serangan tersebut menunjukkan adanya aktor yang canggih.
"Tidak jelas beberapa script kiddies," katanya.
Di luar kerugian segera, eksploitasi ini menjadi pengingat lain bahwa seiring DeFi menjadi semakin saling terhubung, kegagalan di satu lapisan dapat dengan cepat menyebar ke seluruh sistem.
Egorov berpendapat bahwa model pinjaman non-isolasi, di mana aset berbagi risiko di seluruh pool, memperbesar dampak dari peristiwa semacam itu.
Dia juga menunjukkan kekurangan dalam cara aset baru diintegrasikan ke platform pinjaman, mengatakan konfigurasi seperti pengaturan verifier 1-of-1 Kelp seharusnya telah diwaspadai lebih awal.
Namun, Egorov mengatakan ada sisi positifnya. "Kripto adalah lingkungan yang keras yang tidak akan bertahan jika dijalankan oleh bank — namun kami bekerja dengannya," katanya. "Saya pikir DeFi akan belajar dari insiden ini dan menjadi lebih kuat dari sebelumnya."
Namun, meskipun insiden-insiden seperti ini mendorong peningkatan dan desain ulang protokol, mereka juga mengikis kepercayaan investor terhadap sektor DeFi secara lebih luas.
"Secara keseluruhan, kepercayaan terhadap protokol DeFi terkikis oleh peristiwa semacam ini," kata Guillemet.
"Dan 2026 kemungkinan besar akan menjadi tahun terburuk dalam hal peretasan, lagi," tambahnya.
Baca selengkapnya: 'DeFi sudah mati': komunitas kripto bergerak cepat setelah peretasan terbesar tahun ini mengungkap risiko penyebaran