Sebuah serangan yang melibatkan $292 juta pada hujung minggu telah mengguncang industri kripto, mendedahkan kelemahan dalam infrastruktur kewangan terdesentralisasi (DeFi) dan menimbulkan kebimbangan mengenai kesan berantai terhadap protokol pinjaman.
Sementara penyiasatan masih berterusan, analisis awal menunjukkan serangan itu berpusat pada token rsETH Kelp — versi ether (ETH) yang menghasilkan imbalan — dan mekanisme yang digunakan untuk memindahkan aset antara blok rantai.
Penyerang kelihatan telah memanipulasi sistem tersebut untuk mencipta jumlah besar token tanpa sokongan yang memadai, kemudian dengan cepat menggunakannya sebagai jaminan untuk meminjam dan menarik aset sebenar dari pasaran pinjaman, kebanyakannya dari Aave AAVE$90.11, pemberi pinjaman kripto terdesentralisasi terbesar.
Kejadian ini merupakan pukulan terbaru kepada DeFi, berlaku hanya beberapa minggu selepas eksploit $285 juta terhadap protokol berasaskan Solana, Drift, yang semakin merosakkan keyakinan pelabur terhadap sektor kripto bernilai hampir $90 bilion.
Pada aras tinggi, eksploitasi tersebut menargetkan komponen jambatan LayerZero — sebahagian infrastruktur yang membolehkan aset bergerak di antara blok rantai yang berbeza, kata Charles Guillemet, CTO pembuat dompet peranti keras Ledger, dalam satu nota kepada CoinDesk.
Jambatan biasanya berfungsi dengan mengunci aset di satu rantai dan mencipta token setara di rantai lain. Proses ini bergantung pada entiti yang dipercayai — sering disebut sebagai oracle atau validator — untuk mengesahkan deposit.
Dalam kes ini, Kelp bertindak secara efektif sebagai pengesah itu. Menurut Guillemet, sistem tersebut bergantung pada pengaturan penandatangan tunggal, bermakna hanya satu entiti yang boleh mengesahkan sebarang transaksi.
“Tampaknya penyerang berjaya menandatangani mesej … membolehkannya mencetak jumlah besar rsETH,” katanya. Beliau menambah bahawa masih tidak jelas bagaimana akses tersebut diperoleh.
Michael Egorov, penasihat Curve Finance, menunjuk kepada kelemahan yang sama dalam konfigurasi sistem.
Benda-benda boleh berlaku apabila anda mempercayai satu pihak sahaja — siapa pun itu.
Pengaturan itu membolehkan penyerang untuk mencipta token tanpa jaminan, walaupun tidak ada aset yang dikunci di rantai sumber.
Setelah dicetak, token-token tersebut segera dikerahkan. Penyerang "segera menyimpannya dalam protokol pinjaman, terutama Aave, untuk meminjam ETH asli sebagai jaminan," jelas Guillemet.
Manuver itu mengalihkan masalah daripada satu eksploit tunggal kepada isu pasaran yang lebih luas. Platform pinjaman DeFi kini terpaksa memegang jaminan yang mungkin sukar untuk dibalikkan, sementara aset berharga dan cair sudah ditarik habis.
"Aave meninggalkan rsETH yang tidak boleh dijual dan ETH maxborrowed [sic], jadi tiada siapa pun boleh menarik keluar ETH," kata Egorov dari Curve.
Sebagai akibatnya, Aave dan protokol pinjaman lain mungkin memegang ratusan juta dolar jaminan yang diragukan dan hutang buruk, dia memperingatkan, menimbulkan kekhawatiran tentang kemungkinan dinamika "penarikan bank" apabila pengguna berbondong-bondong melakukan penarikan dana.
Aave mengalami penurunan aset sekitar $6 bilion pada protokol tersebut apabila pengguna menarik aset mereka selepas insiden berlaku. token yang berkaitan dengan protokol itu turun sekitar 15% semasa perniagaan 24 jam terakhir.
Soalan utama masih berkenaan bagaimana validator tersebut telah dikompromikan. Sistem tersebut bergantung pada nod rasmi LayerZero, yang menimbulkan ketidakpastian sama ada ia telah dihack, disalahkonfigurasikan, atau ditipu.
"Adakah ia diretas? Adakah ia ditipu? Kami tidak tahu," kata Egorov.
Identiti penyerang juga tidak diketahui, walaupun Guillemet mengatakan skala serangan itu menunjukkan pihak yang canggih.
"Tidak jelas beberapa script kiddies," katanya.
Di luar kerugian segera, eksploitasi ini menjadi pengingat bahawa semakin DeFi menjadi saling berkaitan, kegagalan dalam satu lapisan boleh dengan cepat merambat ke seluruh sistem.
Egorov berhujah bahawa model pinjaman bukan terpisah, di mana aset berkongsi risiko di antara kolam, memperbesar kesan peristiwa-peristiwa seperti itu.
Dia juga menunjukkan kekurangan dalam cara aset baharu dimasukkan ke platform pinjaman, dengan mengatakan konfigurasi seperti pengecekan 1-daripada-1 Kelp sepatutnya telah diisyaratkan lebih awal.
Namun, Egorov mengatakan ada sisi positifnya. "Kripto adalah persekitaran yang keras yang tidak ada bank pun akan bertahan — namun kami bekerja dengan itu," katanya. "Saya fikir DeFi akan belajar daripada insiden ini dan menjadi lebih kuat daripada sebelumnya."
Namun, walaupun insiden-insiden seperti ini membawa kepada peningkatan dan reka semula protokol, ia juga mengurangkan keyakinan pelabur terhadap sektor DeFi secara keseluruhan.
"Secara keseluruhan, kepercayaan terhadap protokol DeFi terkikis oleh peristiwa semacam ini," kata Guillemet.
"Dan 2026 kemungkinan besar akan menjadi tahun terburuk dari segi serbuan, sekali lagi," tambahnya.
Baca lebih lanjut: 'DeFi sudah mati': komuniti kripto bergerak pantas selepas perompakan terbesar tahun ini mengungkap risiko penularan