Eksploitasi KelpDAO senilai $300 juta kini terlihat lebih sebagai kegagalan Layer 2 ketimbang pelanggaran langsung di jaringan utama Ethereum, seiring meningkatnya ketakutan akan contagion DeFi akibat interaksi antar rantai dalam komunitas.
Sumber yang meminta anonimitas menghubungi Cryptopolitan dan menyatakan ada “kepercayaan bahwa Core L1 ETH tidak terpengaruh” dan masalah ini “terdapat di L2.”
Serangan dimulai setelah sebuah dompet yang didanai melalui kolam 1 ETH di Tornado Cash menunggu sekitar sepuluh jam, kemudian memanggil lzReceive pada kontrak EndpointV2 LayerZero. Itu memicu logika jembatan KelpDAO dan melepaskan 116.500 rsETH ke dompet penyerang.
Token-token tersebut bernilai sekitar $292 juta dan menyusun sekitar 18% dari total pasokan rsETH yang beredar sekitar 630.000. Dua paket tambahan kemudian menargetkan masing-masing 40.000 rsETH, atau sekitar $100 juta lebih, tetapi keduanya dibatalkan setelah multisig darurat KelpDAO melaksanakan pauseAll.
Jika kedua percobaan tambahan tersebut berhasil, total kerugian akan mencapai sekitar $391 juta, menurut sumber.
Penyerang menjual rsETH ke Aave dan mengguncang ZRO
rsETH yang dicuri tersebut disetor ke Aave V3 sebagai jaminan, lalu digunakan untuk meminjam sejumlah besar ETH dan WETH, dengan dana yang mengalir kembali melalui Tornado Cash. Ini meningkatkan risiko utang buruk di Aave, dengan perkiraan paparan mencapai hingga $177 juta.
Aave kemudian membekukan semua pasar rsETH di V3 dan V4 serta mengatakan bahwa celah ini berasal dari rsETH, bukan dari kontrak mereka sendiri. SparkLend menutup pasar rsETH mereka. Fluid juga membekukan aktivitas. Upshift menghentikan kedua vault High Growth ETH dan Kelp Gain. Paparan juga terjadi pada produk yang terkait dengan Pendle, Compound, Euler, Beefy, dan Yearn.
Briefing privat yang ditinjau oleh Cryptopolitan menunjukkan bahwa situasi ini lebih terfokus daripada kepanikan pasar yang pertama kali muncul.
Sumber kami menyatakan bahwa L1 rsETH sepenuhnya didukung dan pasar Aave yang relevan “sepenuhnya solvent.” Satu pesan menyebutkan bahwa weETH tidak terpengaruh, manajemen vault likuid beroperasi seperti biasa, dan pengguna LiquidETH serta LiquidUSD tidak akan menghadapi penarikan karena biaya pinjaman berlebih akibat lonjakan di Aave akan ditanggung.
“Sebagai langkah pencegahan, rsETH tetap dibekukan di Aave V3 dan V4, serta eksposur terhadap insiden ini dibatasi. Cadangan WETH juga tetap dibekukan di pasar yang terpengaruh termasuk Ethereum, Arbitrum, Base, Mantle, dan Linea. Aave sedang secara aktif memvalidasi informasi dan menilai kemungkinan resolusi.”
– Aave
Investigasi awal menyatakan masalah ini disebabkan oleh pengaturan DVN 1-of-1 pada rute Kelp rsETH Unichain ke Ethereum, yang memungkinkan token yang tidak terdukung dirilis di Ethereum tanpa pembakaran di sisi sumber yang sah.
Sumber lain memberi tahu bahwa jembatan LayerZero OFT milik platform lain menggunakan pengaturan minimum 2/2 DVN, dapat meningkat menjadi 3 di rute yang lebih sibuk, dan menyertakan batas laju masuk dan keluar. Platform tersebut juga menghentikan semua jembatan LZ OFT sebagai langkah pencegahan, dan membekukan kontrak Teller, modul yang menangani setoran, penarikan, dan pencetakan saham.
Protokol menghentikan penarikan dan menunggu likuiditas
Menurut sumber, “tingkat pinjaman di Aave meningkat pesat dan antrean keluar Ethereum telah penuh, sehingga membuat deleveraging lebih sulit/mahal.” Sumber lainnya mengatakan Kelp belum memutuskan bagaimana kerugian akan ditanggung atau dibagikan, dan skenario terbaik adalah agar kerugian hanya terjadi di L2 tempat eksploitasi berlangsung.
Setoran dibekukan karena laporan oracle yang tertunda dapat menciptakan pencetakan saham yang tidak adil. Penarikan dijelaskan sebagai “secara teknis tidak terhenti,” tetapi tidak dapat diproses tanpa kejelasan lebih lanjut dari Kelp dan Aave.
Mellow sekarang mencari celah untuk keluar, tetapi belum dapat melakukannya karena premi untuk menukar stETH ke ETH terlalu tinggi dan antrean keluar Ethereum sangat padat. Tim menahan pembaruan oracle karena mereka tidak tahu bagaimana menghargai rsETH setelah kerugian.
Salah satu sumber menyebutkan, “Kami hanya tidak tahu bagaimana menghargai rsETH.” Sumber lain menambahkan, “belum ada perkembangan sejauh ini,” ketika ditanya tentang progres dari Kelp atau Aave. Dalam skenario terburuk, kerugian diperkirakan mencapai sekitar 9.000 ETH.
Perkiraan lain menyatakan kemungkinan dampak 6.2% pada depositor tingkat atas jika kerugian mencapai L1 dan langkah pendukung yang lebih luas tidak digunakan. Pesan terpisah mengatakan bahwa likuiditas protokol yang masuk mungkin akan tiba pada hari Selasa atau Rabu untuk membantu memproses penarikan yang lebih besar.
EtherFi telah memberi tahu penggunanya di X bahwa:
“Vault likuid EtherFi tidak terpengaruh oleh insiden Kelp rsETH baru-baru ini. Pengguna vault likuid tidak akan mengalami penarikan.”
Sementara semua ini sedang berlangsung, kami juga mendapatkan informasi bahwa Vercel telah diserang dan penyerang telah mencantumkan data pelanggan, kode sumber, basis data, dan kunci untuk dijual.
Vercel telah mengumumkan secara publik di Telegram bahwa mereka “mengidentifikasi insiden keamanan yang melibatkan akses tidak sah ke sistem internal mereka.”
