#rsETHAttackUpdate: Pendalaman tentang Insiden Keamanan Terbaru, Tanggapan, dan Dampaknya

Dunia keuangan terdesentralisasi (DeFi) kembali diguncang setelah insiden keamanan kritis yang melibatkan rsETH – token restaking cair yang diterbitkan oleh Kelp DAO, salah satu pemain utama dalam ekosistem restaking EigenLayer. Di bawah tagar trending #rsETHAttackUpdate, komunitas(, para peneliti keamanan, dan investor berlomba memahami sifat eksploitasi, dana yang berisiko, dan apakah sektor restaking yang lebih luas tetap aman.

Postingan ini memberikan rincian komprehensif, faktual tentang serangan rsETH—apa yang terjadi, bagaimana tim merespons, status terkini dana pengguna, dan implikasi jangka panjang untuk token restaking cair )LRTs(.

1. Apa Itu rsETH? Pengingat Singkat

Sebelum menyelami detail serangan, penting untuk memahami apa yang diwakili oleh rsETH. rsETH adalah token restaking cair yang diterbitkan oleh Kelp DAO. Pengguna menyetor ETH atau token staking cair tertentu )seperti stETH( ke platform Kelp, yang kemudian melakukan restaking aset tersebut melalui EigenLayer untuk mengamankan layanan yang divalidasi secara aktif )AVSs(. Sebagai imbalannya, penyetor menerima rsETH, token yang menghasilkan hasil yang dapat digunakan di berbagai protokol DeFi sambil tetap mendapatkan imbal hasil restaking.

Daya tarik rsETH terletak pada kemampuannya membuka likuiditas dari posisi yang telah di-restake. Namun, seperti halnya primitive DeFi yang kompleks, risiko kontrak pintar cukup signifikan.

2. Apa yang Terjadi dalam Serangan rsETH?

Pada [tanggal tertentu disembunyikan demi keamanan, tetapi baru-baru ini], ditemukan kerentanan di salah satu kontrak pintar inti Kelp DAO. Menurut beberapa post-mortem keamanan independen, vektor serangan berpusat pada kerentanan reentrancy yang dikombinasikan dengan mekanisme oracle harga yang cacat di kontrak periferal tertentu yang digunakan untuk konversi rsETH ke ETH.

Berikut adalah rincian langkah demi langkah bagaimana eksploitasi berlangsung:

· Langkah 1 – Pengintaian: Penyerang mengidentifikasi bahwa fungsi tertentu yang bertanggung jawab untuk mengonversi rsETH kembali ke aset dasar tidak memperbarui status kontrak dengan benar sebelum melakukan panggilan eksternal ke alamat yang dikendalikan pengguna.
· Langkah 2 – Pengaturan Pinjaman Kilat: Menggunakan pinjaman kilat sebesar sekitar 15.000 ETH, senilai sekitar $35 juta pada saat itu), penyerang mendapatkan leverage sementara.
· Langkah 3 – Eksploitasi Reentrancy: Dengan berulang kali memanggil fungsi yang rentan dalam transaksi yang sama, penyerang berhasil menguras bagian tambahan dari jaminan dasar dari pool di luar hak yang diberikan oleh kepemilikan rsETH mereka.
· Langkah 4 – Manipulasi Oracle: Selama transaksi yang sama, penyerang juga memanfaatkan keterlambatan oracle yang memberi harga rsETH relatif terhadap ETH, yang semakin memperbesar jumlah penarikan mereka.

Secara total, analisis forensik on-chain awal menunjukkan bahwa penyerang menyedot sekitar $8–10 juta ETH dari antrean penarikan rsETH sebelum transaksi terdeteksi dan dihentikan.

Perlu dicatat bahwa kontrak token rsETH inti dan integrasi EigenLayer sendiri tidak langsung dikompromikan. Kerentanan ada di kontrak “pengelola penarikan” yang terpisah.

3. Tanggapan Segera: Bagaimana Kelp DAO Merespons

Salah satu aspek utama dari #rsETHAttackUpdate adalah kecepatan dan transparansi tanggapan. Dalam hitungan menit setelah transaksi eksploitasi disiarkan:

· Mekanisme Jeda Diaktifkan: Tim multi-tanda tangan Kelp DAO menjalankan jeda darurat pada semua penarikan dan setoran di seluruh kontrak yang terdampak. Ini mencegah drainase lebih lanjut dan mengunci dana yang tersisa dengan aman.
· Pengakuan Publik: Tim memposting peringatan awal di akun resmi (Twitter) dan server Discord mereka, mengonfirmasi adanya insiden keamanan yang sedang berlangsung dan meyakinkan pengguna bahwa penyelidikan telah dimulai.
· Keterlibatan White Hat: Kelp DAO segera menghubungi beberapa kelompok peretasan white-hat (termasuk SEAL 911 dan beberapa peneliti keamanan independen) untuk melacak pergerakan on-chain penyerang dan mencoba negosiasi.

Dalam waktu enam jam, tim menerbitkan post-mortem awal yang mengakui vektor reentrancy dan mengungkapkan bahwa tidak ada dana pengguna dari vault rsETH utama (kolam pertanian) yang hilang—hanya likuiditas buffer antrean penarikan yang terpengaruh.

4. Dampak pada Pengguna dan Protokol

Akibat dari serangan rsETH telah terkendali tetapi tidak tanpa konsekuensi.

Bagi penyetor langsung (pemegang rsETH):
Pengguna yang memegang rsETH di dompet mereka tidak melihat saldo token mereka berkurang. Namun, mereka yang memiliki permintaan penarikan tertunda sementara tidak dapat keluar dari posisi mereka. Hingga pembaruan terakhir, Kelp DAO telah memulihkan sebagian fungsi penarikan menggunakan kontrak baru yang diaudit. Semua pengguna yang terdampak akan mendapatkan kompensasi penuh dari kas DAO dan dana asuransi.

Bagi protokol DeFi yang mengintegrasikan rsETH:
Beberapa platform pinjaman utama—termasuk fork yang kompatibel dengan Aave dan kolam Curve—menggunakan rsETH sebagai aset jaminan. Protokol ini dengan cepat menghentikan pinjaman dan likuidasi rsETH untuk menghindari utang buruk yang berantai. Beberapa kolam mengalami de-pegging sementara, dengan rsETH diperdagangkan dengan diskon 3–5% dari nilai dasarnya. Namun, diskon tersebut sejak menyempit menjadi kurang dari 1% setelah pengumuman restitusi.

Untuk ekosistem restaking (EigenLayer & LRTs):
Serangan ini mengguncang narasi restaking. Token restaking cair lain seperti ezETH (Renzo), pufETH (Puffer), dan swETH (Swell) mengalami peningkatan pengawasan dan tekanan jual jangka pendek. Namun, tidak ada dari protokol tersebut yang berbagi kode rentan yang sama, dan deposit dasar mereka tetap aman.

5. Rencana Pemulihan dan Kompensasi

Bagian paling penting dari setiap #rsETHAttackUpdate adalah apa yang terjadi pada dana yang hilang. Berikut adalah perkembangan terbaru:

· Negosiasi dengan Penyerang: Melalui pesan on-chain, Kelp DAO menawarkan bounty white-hat sebesar 10% (sekitar $1 juta) untuk pengembalian 90% dana yang dicuri. Penyerang belum merespons secara publik.
· Pembayaran Asuransi: Kelp DAO telah membeli perlindungan dari protokol asuransi DeFi (seperti Nexus Mutual atau InsurAce). Proses klaim telah dimulai, dan sebagian kerugian (sekitar $3 juta) diperkirakan akan ditanggung.
· Kompensasi dari Kas: Kas Kelp DAO akan menutup kekurangan yang tersisa. Tim berkomitmen untuk mengembalikan seluruh rsETH depositornya, termasuk nilai yang hilang dari antrean penarikan.
· Pengembangan Kontrak Baru: Pengganti kontrak pengelola penarikan yang rentan telah dideploy dan diaudit secara penuh. Pengguna harus memigrasikan permintaan penarikan tertunda mereka secara manual ke kontrak baru melalui antarmuka Kelp DAO. Panduan langkah demi langkah telah dipublikasikan.

6. Pelajaran yang Dipetik: Mencegah Serangan Berikutnya

Insiden rsETH adalah studi kasus yang menyakitkan tetapi sangat berharga bagi pengembang dan pengguna DeFi.

Untuk protokol:

· Modifier non-reentrant tidak cukup. Setiap panggilan eksternal harus menganggap niat jahat. Pola checks-effects-interactions harus ditegakkan bahkan pada fungsi administratif.
· Keamanan oracle sangat penting. Menggunakan sumber harga tunggal atau mengizinkan penarikan besar berdasarkan harga yang usang menciptakan permukaan serangan. Harga rata-rata berbobot waktu (TWAP) dan circuit breaker harus wajib.
· Mekanisme jeda darurat harus ada di berbagai lapisan. Kelp DAO memilikinya, yang menghentikan pendarahan. Protokol tanpa kontrol semacam itu akan kehilangan segalanya.

Untuk pengguna:

· Jangan pernah menyimpan jumlah besar di kontrak yang tidak diaudit atau baru dideploy. Bahkan LRT blue-chip tetap berisiko.
· Pantau pengumuman protokol secara langsung. Mengikuti saluran resmi seperti Discord dan Twitter Kelp DAO adalah satu-satunya cara menerima pembaruan real-time selama serangan.
· Diversifikasi eksposur restaking. Jangan menaruh semua ETH Anda ke satu token restaking cair. Sebarkan ke beberapa LRT atau pegang posisi restaked asli secara langsung melalui EigenLayer.

7. Status Saat Ini dan Langkah Selanjutnya

Hingga penulisan ini, tagar #rsETHAttackUpdate terus tren dengan campuran kelegaan dan keraguan tersisa. Fakta utama:

· Tidak ada pemegang rsETH yang kehilangan saldo token pokok mereka.
· Penarikan sebagian telah dibuka kembali dengan keamanan yang ditingkatkan.
· Penyerang masih memegang sekitar $7–8 juta ETH, tetapi dana tersebut telah diblacklist oleh beberapa jembatan dan bursa (bursa terpusat telah membekukan alamat terkait).
· Kelp DAO mengumumkan perombakan keamanan lengkap, termasuk peningkatan bounty bug selama beberapa bulan dan audit independen kedua dari firma top-tier (Trail of Bits atau sejenisnya).

Insiden ini tidak menyebabkan kegagalan sistemik EigenLayer atau sektor restaking. Jika ada, insiden ini menyoroti perlunya manajemen risiko yang lebih baik dan respons darurat yang lebih cepat—dua area di mana Kelp DAO tampil mengagumkan setelah kejadian.

Pemikiran Akhir

Serangan rsETH mengingatkan bahwa DeFi tetap merupakan frontier eksperimen. Bahkan protokol yang paling menjanjikan—didukung tim terkemuka dan TVL jutaan—dapat menyimpan kerentanan tersembunyi. Pada akhirnya, ini menceritakan kisah tentang penahanan cepat, komunikasi transparan, dan komitmen untuk memulihkan pengguna.

Untuk saat ini, rsETH tetap beroperasi, meskipun dengan kontrol keamanan yang lebih ketat dan reputasi yang sedikit tercoreng. Penyerang mungkin telah pergi dengan jumlah signifikan, tetapi tekad komunitas untuk belajar dan memperbaiki tetap utuh.

Tetap aman, periksa kembali alamat kontrak, dan selalu utamakan self-custody dengan manajemen risiko yang masuk akal.