#rsETHAttackUpdate

Pembaruan Serangan rsETH: 26 April 2026

Pada 18 April 2026, sekitar pukul 17:35 UTC, penyerang memanfaatkan kerentanan kritis di jembatan lintas rantai LayerZero V2 Kelp DAO untuk rsETH. Insiden ini merupakan eksploitasi DeFi terbesar tahun 2026 hingga saat ini, dengan sekitar 116.500 rsETH yang tidak didukung dicetak dan dikuras—dengan nilai sekitar $292-293 juta pada saat serangan, mewakili sekitar 18% dari pasokan rsETH yang beredar.

Bagaimana Serangan Bekerja

Eksploitasi menargetkan mekanisme jembatan rsETH Kelp, yang menggunakan sistem kunci dan pencetakan LayerZero. Dalam operasi normal, dana dikunci di rantai sumber dan dicetak di rantai tujuan, dengan verifikasi ditangani oleh Jaringan Verifikasi Terdesentralisasi. Kerentanan terletak pada rute Unichain ke Ethereum, yang dikonfigurasi dengan satu node verifikasi daripada kuorum tanda tangan ganda.

Penyerang, yang dikaitkan dengan Kelompok Lazarus dari Korea Utara dan sub-grup TraderTraitor, mengompromikan dua node RPC LayerZero Labs. Mereka menyuntikkan data palsu yang mensimulasikan pembakaran rsETH di Unichain sambil meluncurkan serangan DDoS pada RPC eksternal untuk memaksa failover ke infrastruktur mereka yang dikompromikan. Manipulasi ini menipu verifier tunggal tersebut untuk menyetujui paket LayerZero palsu, melepaskan dana tanpa adanya transaksi pembakaran nyata di rantai sumber.

Yang penting, ini bukan bug kontrak pintar melainkan serangan infrastruktur off-chain yang melibatkan keracunan RPC. Malware yang digunakan menghapus dirinya sendiri setelah eksploitasi. Upaya serangan kedua yang menargetkan sekitar 40.000 rsETH bernilai sekitar $221 juta berhasil diblokir oleh mekanisme jeda darurat Kelp.

**Respons Langsung dan Dampak Pasar**

Dalam satu hingga dua jam setelah deteksi, beberapa protokol menerapkan langkah darurat. Kelp DAO menghentikan kontrak rsETH di Ethereum dan semua jaringan Layer 2 sambil memasukkan daftar hitam alamat penyerang. Aave V3 dan V4 membekukan pasar rsETH dan wrsETH, menetapkan rasio pinjaman terhadap nilai menjadi nol, dan kemudian membekukan WETH di beberapa rantai sebelum sebagian membuka kembali pasar Ethereum pada 21 April. Protokol lain yang terdampak termasuk SparkLend, Fluid, Upshift, Compound, Euler, dan Lido juga menghentikan pasar yang terpapar rsETH.

Penyerang menyetor 89.567 rsETH senilai sekitar $13 juta sebagai jaminan di Aave V3 di Ethereum dan Arbitrum, meminjam sekitar 82.650 WETH bernilai $190,9 juta plus 821 wstETH senilai $2,3 juta. Faktor kesehatan posisi ini berkisar antara 1,01 dan 1,03, menunjukkan tingkat leverage dan risiko jaminan yang sangat tinggi. Deposito kecil tambahan dilakukan di Compound V3 dan Euler.

Pasar yang lebih luas merasakan gelombang kejut yang signifikan. Sekitar $606 miliar total nilai terkunci keluar dari platform DeFi dalam dua hari. Tingkat penggunaan WETH mencapai 100% di rantai utama, dan rsETH kehilangan peg di jaringan Layer 2. Total kerugian hack bulan April 2026 mencapai sekitar $71 juta, menjadikannya salah satu bulan termahal dalam sejarah DeFi.

**Status Pemulihan Saat Ini**

Per 26 April, beberapa perkembangan positif telah muncul. Dewan Keamanan Arbitrum berhasil membekukan 30.766 ETH senilai sekitar $58 juta dari alamat penyerang pada 21 April. Dana ini kini disimpan dalam dompet yang dikendalikan oleh tata kelola, dengan koordinasi yang sedang berlangsung antara dewan dan lembaga penegak hukum.

Protokol DeFi telah menjanjikan sekitar 43.500 ETH untuk memulihkan cadangan rsETH. DAO Aave mengusulkan kontribusi 25.000 ETH senilai sekitar $161 juta melalui dana DeFi United, yang kini berjumlah sekitar $54 juta. Kelp dan LayerZero sedang mengoordinasikan upaya pemulihan, dengan modul Umbrella Aave yang menyimpan sekitar $124 juta dalam aWETH sedang dipertimbangkan sebagai mekanisme offset potensial.

Laporan insiden Aave pada 20 April menguraikan dua skenario utama untuk menangani utang buruk yang mungkin terjadi. Skenario pertama melibatkan sosialisasi kerugian seragam di seluruh pasokan rsETH, menghasilkan depeg sebesar 15,12% dan sekitar $230 juta utang buruk total. Skenario kedua menargetkan potongan harga 73,54% hanya di L2 pada kepemilikan rsETH jarak jauh, yang akan menciptakan utang buruk sekitar $292 juta dengan dampak parah pada rantai seperti Mantle yang menghadapi kekurangan 71%.

LayerZero telah menghentikan konfigurasi DVN 1-of-1 yang rentan dan mengganti infrastruktur RPC yang dikompromikan. Mereka telah memastikan tidak ada aplikasi lain yang terdampak oleh kerentanan spesifik ini.

**Poin Utama**

Eksploitasi rsETH menyoroti risiko kritis dalam arsitektur jembatan lintas rantai, terutama yang bergantung pada mekanisme verifikasi titik kegagalan tunggal dan infrastruktur RPC terpusat. Serangan ini menunjukkan bagaimana komponen off-chain dapat dikompromikan bahkan ketika kontrak pintar sendiri aman.

rsETH di mainnet Ethereum tetap sepenuhnya didukung oleh deposit staking Kelp. Masalah utama terletak pada adaptor jembatan Layer 2, di mana 40.373 rsETH mendukung 152.577 klaim, menciptakan kekurangan sekitar 112.000 rsETH.

Pemulihan penuh dari $181 juta awal tetap tidak mungkin dalam waktu dekat. Chainalysis dan Certik terus melacak aliran dana. Kas Kelp sebesar sekitar juta ditambah pendapatan yang sedang berlangsung memberikan bantalan terhadap kerugian yang direalisasikan. Proposal tata kelola Kelp dan Aave tetap aktif saat komunitas membahas mekanisme alokasi kerugian.

Ke depan, industri menghadapi tekanan untuk menerapkan kuorum multi-DVN, sistem pemantauan invarians, dan audit infrastruktur off-chain secara menyeluruh. Meskipun TVL yang di-restake telah terguncang, staking di mainnet Ethereum tetap utuh. Semua pemangku kepentingan harus memantau forum tata kelola Aave dan Kelp serta laporan post-mortem LayerZero untuk perkembangan yang terus berkembang.