Belakangan ini ekosistem DeFi mengungkapkan sebuah celah keamanan yang cukup serius, saya telah melihat data terkait, dampak dari seluruh kejadian ini lebih luas dari yang dibayangkan.

Jembatan lintas rantai Kelp DAO diserang oleh peretas pada pertengahan April, dengan kerugian mencapai 292 juta hingga 294 juta dolar AS, ini adalah insiden keamanan terbesar di bidang DeFi tahun ini. Peretas dengan memalsukan pesan lintas rantai, sekaligus mencuri 116.500 rsETH, kemudian berusaha mencuri lagi 80.000, tetapi dihentikan oleh Kelp DAO dan kontrak yang dihentikan tepat waktu.

Yang lebih mengkhawatirkan lagi, serangan ini memicu efek domino. Peretas menggunakan rsETH yang dicuri sebagai jaminan untuk dipinjamkan ke protokol pinjaman utama seperti Aave, SparkLend, Fluid, meminjam WETH dan ETH dalam jumlah besar. Begitu rsETH ditandai sebagai aset yang bermasalah, platform-platform ini langsung menghadapi kerugian besar. Aave merespons cukup cepat, segera membekukan pasar rsETH di V3 dan V4, tetapi kerugian di platform lain sudah tidak bisa dihindari.

Akar dari kejadian ini sebenarnya terletak pada celah di jembatan lintas rantai yang dibangun oleh LayerZero. Peretas terlebih dahulu menggunakan Tornado Cash untuk mengumpulkan dana, bersembunyi selama sekitar 10 jam sebelum melakukan serangan, memanfaatkan fungsi lzReceive yang memicu celah tersebut. Menariknya, serangan terjadi saat hari libur, sehingga respons dari berbagai platform umumnya lebih lambat, ini juga mengungkap kekurangan dalam penanganan darurat di DeFi.

Saya perhatikan bahwa kejadian ini dengan baik menunjukkan risiko dari pola "blok bangunan" yang disusun secara modular—celah di satu jembatan lintas rantai bisa langsung mempengaruhi seluruh ekosistem. Peretas saat ini sudah menukarkan sekitar 250 juta dolar hasil curian menjadi ETH, dan aliran dana tersebut sudah dapat dilacak di blockchain.

Respons Kelp DAO cukup cepat, dalam waktu 46 menit mereka mengaktifkan mekanisme darurat, menghentikan kontrak rsETH di jaringan Ethereum utama dan beberapa L2, serta bekerja sama dengan LayerZero dan perusahaan audit keamanan untuk melakukan penyelidikan. Namun, likuiditas lintas rantai sudah mengalami kerusakan parah, dan wrapped ETH di beberapa chain juga menghadapi kesulitan.

Bagi mereka yang memiliki dana yang dipertaruhkan di platform DeFi, langkah paling bijak saat ini adalah segera menarik dana ke dompet yang dikendalikan sendiri. Mengingat kemungkinan akan ada lebih banyak platform yang menangguhkan penarikan, lebih cepat bertindak tentu lebih baik. Tim riset keamanan juga terus melacak alamat peretas, namun skema kompensasi belum diumumkan, jadi semua harus tetap mengikuti pengumuman resmi.