Kelp DAO dan jembatan LayerZero mengalami kerentanan keamananPeristiwa yang terjadi akhir pekan telah meninggalkan... Bergantung pada bagaimana situasi ini diselesaikan, protokol pinjaman Aave berpotensi mengalami kerugian hingga $230 juta.
Menurutlaporan dari Aave Labs dan penyedia layanan LlamaRisk yang diterbitkan di forum tata kelola Aave, artikel ini menyoroti rsETH, sebuah token re-staking yang dikeluarkan oleh KelpDAO. Untuk mentransfer rsETH di antara berbagai blockchain, protokol ini mengandalkan mekanisme jembatan yang mengunci token di satu rantai, sekaligus menerbitkan salinan yang sesuai di rantai lainnya.
Penyerang memanfaatkan kerentanan ini untuk memalsukan pesan transfer yang tampak sah. Meskipun token tidak pernah dihapus dari rantai pengirim, sistem tetap menyetujui transfer tersebut, yang berarti sebenarnya menciptakan token baru tanpa dukungan nyata, menyebabkan jembatan Ethereum melepaskan 116.500 rsETH.
Dilaporkan bahwa pelaku serangan tidak menjual aset-aset ini di pasar terbuka, melainkan menyetorkan 89.567 rsETH ke Aave sebagai jaminan dan meminjam ETH serta aset terkait senilai sekitar $190 juta di platform seperti Ethereum dan Arbitrum. Hal ini membuat jaminan Aave berpotensi menghadapi risiko serius.
Aave Labs menyatakan telah segera mengambil tindakan untuk mengendalikan risiko. Dalam hitungan jam, protokol tersebut membekukan pasar rsETH di semua platform yang diimplementasikan, menetapkan rasio nilai pinjaman menjadi nol, dan menghentikan peminjaman baru yang menggunakan aset ini sebagai jaminan.
Hasil saat ini sangat bergantung pada bagaimana Kelp menangani kesenjangan dana. Jika kerugian dibebankan kepada seluruh pemegang rsETH, token ini diperkirakan mengalami pelepasan sebesar 15% (yang berarti nilai token staking tidak akan sesuai dengan nilai ETH aktual), menyebabkan Aave mengalami kredit macet sekitar $124 juta. Jika kerugian terbatas pada lapisan kedua, dampaknya akan lebih parah, dengan kredit macet meningkat menjadi sekitar $230 juta dan terkonsentrasi di jaringan seperti Arbitrum dan Mantle.
Eksploitasi ini berasal dari kelemahan dalam cara Kelp menggunakan LayerZero untuk memverifikasi pesan lintas rantai. Penyerang memanipulasi proses ini sehingga beberapa aset tampak sepenuhnya di-backup meskipun sebenarnya tidak sepenuhnya di-backup, sehingga mencuri nilai dari sistem. LayerZero sendiri tidak langsung diserang, tetapi... lapisan pengiriman informasinya mengekspos asumsi yang salah tentang bagaimana Kelp memverifikasi data lintas rantai.
Peristiwa ini menimbulkan kekhawatiran bahwa beberapa posisi di Aave didukung oleh jaminan yang salah harga atau tidak lagi sepenuhnya dijaminkan, yang meningkatkan risiko pinjaman tidak mencukupi jaminannya.
Sebagai respons, pengguna mengambil langkah-langkah untuk mengurangi paparan. Setelah kejadian tersebut, total nilai yang terkunci di platform Aave senilai sekitar $6 miliar dibekukan kembali. Ini mencerminkan bahwa pasar mengalami penyesuaian luas akibat reaksi peserta terhadap ketidakpastian.
Peristiwa ini menyoroti ketergantungan tidak langsungnya terhadap sistem eksternal. Dampaknya terlihat pada peningkatan risiko jaminan, tekanan pada posisi pinjaman, dan penurunan deposit yang signifikan, karena pengguna mengevaluasi ulang keamanan infrastruktur DeFi yang saling terhubung.
Laporan menyatakan bahwa dompet DAO-nya memegang aset sekitar $181 juta dan saat ini sedang berdiskusi dengan peserta ekosistem mengenai respons terhadap potensi kerugian. Kelp belum mengumumkan rencana distribusi kerugiannya, sehingga eksposur akhir Aave tetap tidak pasti seiring perkembangan situasi.