Bisnis gadai DeFi hampir runtuh karena sebuah kwitansi

Menulis artikel: Clow

Pada 18 April, DeFi dilempar ke dalam air.

Kali ini bukan bursa yang diretas, juga bukan kontrak yang langsung dikuras. Penyerang mendapatkan sekumpulan bukti jaminan bernilai sekitar 290 juta dolar AS, lalu memasukkannya ke dalam protokol pinjaman on-chain Aave, meminjam ETH seperti WETH, wstETH yang lebih mudah dicairkan.

Sekumpulan bukti ini disebut rsETH, seperti sebuah “kwitansi ETH”: pengguna memasukkan ETH atau aset terkait ke dalam KelpDAO, mendapatkan bukti, dan di masa depan bisa menukarnya kembali dengan aset dasar. Aave pun seperti toko gadai di blockchain, pengguna menggadaikan aset dan meminjam ETH, stablecoin, atau aset lain.

Masalahnya adalah, gudang di balik “kwitansi” ini mengalami masalah.

Ini seperti seseorang membawa surat gudang yang sudah tidak berlaku lagi ke bank untuk meminjam uang. Barang di gudang tidak cukup, tetapi sistem perbankan belum menyadarinya, dan tetap memberikan pinjaman dengan harga semula.

Yang paling memalukan adalah, loket bank tidak rusak, proses pinjaman juga tidak rusak. Yang benar-benar rusak adalah hubungan antara surat gudang dan gudang itu sendiri. Kali ini, Aave menghadapi masalah serupa.

Jika hanya KelpDAO kehilangan koin, itu adalah insiden keamanan protokol. Tapi ketika jaminan yang rusak masuk ke Aave, situasinya berubah menjadi latihan penarikan dana dari sistem kepercayaan DeFi.

Siapa yang paling menderita? Bukan KelpDAO, melainkan orang-orang yang terkunci di dalamnya.

Laporan insiden menunjukkan, serangan terjadi pada 18 April 2026 pukul 17:35 UTC. Penyerang menipu saluran rsETH dari Unichain kembali ke Ethereum milik KelpDAO, dan melepaskan 116.500 rsETH.

Dari jumlah tersebut, 89.600 rsETH disimpan di Aave, meminjam 82.700 WETH dan 821 wstETH, total sekitar 193 juta dolar AS.

Aave bukan yang diretas. Kontraknya tidak rusak, sistem harga juga tidak langsung diserang. Masalahnya adalah, penyerang menggunakan sekumpulan rsETH yang “terlihat masih berharga” sebagai jaminan, lalu meminjam keluar aset nyata dari kolam Aave. WETH adalah saldo ETH yang bisa diambil dari kolam tersebut. Setelah dipinjam habis, saldo di buku deposan tetap ada, tetapi WETH yang bisa diambil hilang.

Cadangan WETH di beberapa pasar sempat mencapai 100% utilisasi, saldo yang tidak terpakai hampir tidak ada. Dampaknya bagi pengguna adalah:

Anda punya uang, tapi saat ini tidak bisa mengeluarkannya.

Ini sangat mirip dengan sensasi penangguhan penarikan di bursa, hanya saja versi on-chain-nya lebih menyakitkan. Halaman tidak akan memberi tahu “uang hilang”, mereka hanya akan memberi tahu “tidak ada likuiditas saat ini”. Depositor melihat saldo, yang benar-benar hilang adalah jalur keluar.

Aave kemudian membekukan rsETH, wrsETH, dan beberapa pasar WETH. Bukan karena pengguna melakukan kesalahan, tetapi karena sistem harus menutup pintu masuk terlebih dahulu.

Ini juga menjadi bagian yang banyak orang sulit pahami pada pandangan pertama. Aave tidak langsung diretas dan asetnya diambil paksa, tetapi jaminan yang masuk tiba-tiba menjadi “kotor”. Depositor mengira mereka hanya memasukkan ETH ke dalam kolam pinjaman, tetapi di ujung lain kolam, seseorang menggunakan bukti jaminan yang rusak untuk meminjam aset berharga.

Kali ini bukan brankas yang dibobol, melainkan penjaganya yang tertipu.

Saluran lintas chain KelpDAO menggunakan LayerZero. Jembatan lintas chain seperti sistem transfer antara dua gudang: di sisi Ethereum, sekumpulan rsETH dikunci, dan di chain lain, dibuat bukti yang sesuai; saat pengguna kembali, sistem memastikan bukti di sana telah dihancurkan, baru rsETH di gudang Ethereum dilepaskan.

Semakin banyak yang memverifikasi pesan ini, semakin aman. Sayangnya, KelpDAO saat itu adalah 1-of-1 DVN, jaringan verifikasi yang bertanggung jawab untuk memberi cap hanya memiliki satu sumber verifikasi yang berwenang. Satu orang memberi cap, satu orang memberi izin.

Node RPC seperti “jendela pemeriksaan”. Menurut pengungkapan LayerZero, penyerang membobol dua node RPC, lalu melancarkan DDoS terhadap RPC eksternal yang tidak dibobol, memaksa jaringan verifikasi membaca status dari sumber data yang kotor. Akibatnya, para verifikator melihat pesan yang tidak ada: seolah-olah di chain lain sudah dihancurkan cukup banyak rsETH, dan mereka bisa mengeluarkan token dari Ethereum.

Kontrak di Ethereum percaya, lalu melepaskan 116.500 rsETH.

Setiap langkah di blockchain tampak seperti transaksi normal. Pasangan tanda tangan, pesan, prosesnya juga benar. Hanya saja, yang terjadi di balik layar sebenarnya tidak pernah terjadi. Kode dieksekusi sesuai input, masalahnya adalah input tersebut sudah dimanipulasi.

Ini lebih rumit daripada celah kontrak biasa. Celah kontrak minimal bisa menunjuk satu baris kode yang salah; kali ini lebih seperti rekaman pengawasan yang dipalsukan, petugas keamanan membuka pintu sesuai prosedur. Pintu terbuka secara sah, tetapi orang di luar tidak seharusnya masuk.

Jadi, yang benar-benar menakutkan dari insiden ini bukanlah kesalahan satu pengembang dalam menulis kode, melainkan bahwa infrastruktur dasar yang dipercaya banyak protokol juga bisa berbohong. Jembatan, node, jaringan verifikasi, semuanya biasanya tersembunyi di belakang layar, tetapi saat terjadi masalah, mereka bisa langsung mengubah nasib aset.

Mengapa Aave terjebak dengan jaminan yang rusak?

Protokol pinjaman paling takut bukanlah fluktuasi harga. Fluktuasi harga setidaknya masih bisa dilikuidasi. Masalahnya adalah, jaminan secara tampak masih berharga, tetapi dukungannya sudah runtuh.

rsETH awalnya adalah sebuah kwitansi ETH, lebih dari sekadar ETH biasa. Setelah melintasi ke jaringan layer 2 seperti L2, risiko jembatan bertambah. Ketika masuk ke Aave, yang biasanya disebut efisiensi modal, saat terjadi masalah menjadi semacam kotak risiko tak terduga.

Kalau hanya ETH yang turun harga, Aave bisa melakukan likuidasi sesuai aturan. Tapi masalah rsETH bukan sekadar penurunan harga, melainkan “apakah kwitansi ini masih bisa ditukar kembali dengan aset”. Jika pertanyaan ini tidak terjawab, likuidasi menjadi canggung karena pasar mungkin tidak mau menampungnya.

Laporan insiden Aave menyebutkan dua skenario kerugian: jika kerugian ditanggung bersama oleh semua pemegang rsETH, potensi kerugian sekitar 123,7 juta dolar AS; jika hanya diisolasi di L2 rsETH, kerugian diperkirakan sekitar 230,1 juta dolar AS, dengan tekanan utama di Mantle dan Arbitrum.

Dua angka ini sangat berbeda, tetapi keduanya berbicara tentang hal yang sama: Aave tidak kalah karena logika kontrak, melainkan karena terlalu tinggi menilai keandalan “kwitansi ETH” ini. Penyerang juga menyadari hal ini, jadi mereka tidak buru-buru menjual rsETH, melainkan memasukkan jaminan yang rusak ke pasar pinjaman dan meminjam aset berharga.

Dulu orang suka memuji komposabilitas: aset dari satu protokol bisa masuk ke protokol lain tanpa hambatan. Tapi kali ini, mereka melihat sisi negatifnya. Celah di satu protokol juga bisa masuk ke protokol lain tanpa hambatan.

Laporan Aave menunjukkan, hingga 20 April, DAO Aave memiliki sekitar 181 juta dolar AS aset. Pada 24 April, proposal tata kelola mengungkapkan rencana penyelamatan: Aliansi penyelamatan DeFi United akan mengoordinasikan dana dari berbagai pihak untuk menutup kekurangan jaminan rsETH.

Dalam rencana tersebut termasuk 40.400 rsETH yang dibekukan KelpDAO, 30.800 ETH yang dibekukan Arbitrum Security Council, batas kredit tertinggi 30.000 ETH dari Mantle, dan 25.000 ETH yang harus disediakan Aave DAO.

Circle juga ikut terlibat. Sebagai penerbit stablecoin USDC, mereka mulai peduli terhadap pasar pinjaman. Ini bukan amal, melainkan langkah perlindungan industri.

Ini menjelaskan mengapa upaya penyelamatan datang begitu cepat. Aave bukan situs yang terisolasi, melainkan tempat banyak dompet, strategi penghasilan, perdagangan stablecoin, dan dana market-making melewati. Jika tempat ini tersumbat, banyak protokol yang tampaknya tidak terkait juga akan merasakan dampaknya.

USDC yang beredar di DeFi tidak bisa lepas dari pasar pinjaman utama seperti Aave. Jika kolam ini macet dalam jangka panjang, penggunaan stablecoin juga akan terganggu. Jadi, menyelamatkan Aave bukan hanya menyelamatkan satu protokol, tetapi juga menjaga jalur sirkulasi dana.

Jadi, masalah yang tersisa dari insiden ini bukanlah apakah Aave akan mati, melainkan berapa banyak aset “seperti ETH” yang akan terikat dengan jembatan, node RPC, node verifikasi, dan konfigurasi yang tidak pernah diperiksa secara terbuka.

DeFi tidak memiliki bank sentral. Tapi, ia sudah memiliki kelompok penyelamatan sementara, dana treasury, perusahaan stablecoin, dan batas kredit.

Inilah sisi paling nyata: ia bisa tanpa pusat, tetapi tidak bisa tanpa kepercayaan. Semakin banyak lapisan aset, semakin tinggi efisiensinya, tetapi tanggung jawabnya juga semakin tersembunyi.

Ini bukan keuangan yang lebih murni.

Jaminan yang rusak adalah yang paling mahal.