Penyedia manajemen risiko platform pinjaman terdesentralisasi Aave telah menguraikan dua skenario tentang bagaimana utang buruk dari eksploitasi Kelp DAO selama akhir pekan dapat berdampak pada ekosistem, tergantung pada bagaimana kerugian dialokasikan.
Insiden ini dimulai pada hari Sabtu ketika peretas mencuri 116.500 token Kelp DAO Restaked ETH (rsETH) senilai $293 juta dari bridge berbasis LayerZero milik Kelp DAO dan menggunakannya sebagai jaminan di Aave V3 untuk meminjam wrapped Ether (wETH).
Pada hari Senin, LlamaRisk memodelkan dua skenario yang mungkin terjadi mengenai bagaimana "utang buruk" ini dapat terwujud di Aave, mencatat bahwa keputusan akhir berada di tangan Kelp DAO.
Insiden ini menyoroti risiko penularan (contagion risk) di DeFi, di mana satu eksploitasi bridge dapat memicu krisis likuiditas dan penarikan massal di seluruh protokol yang saling terhubung seperti Aave, yang telah melihat nilai hampir $10 miliar meninggalkan protokol sejak eksploitasi Kelp DAO terjadi.
Skenario pertama akan melihat kerugian tersebar di semua pemegang token rsETH di mainnet Ethereum dan layer 2 Ethereum, menghasilkan utang buruk sekitar $123,7 juta di Aave sambil berisiko mengalami depeg 15% pada rsETH relatif terhadap Ether (ETH).
LlamaRisk mengatakan bahwa skenario pertama ini akan menyebarkan kerugian lebih tipis di semua rantai, sambil mencatat bahwa wrapped Ether (wETH) akan "menyerap sebagian besar dalam nilai absolut tetapi hampir tidak merasakannya relatif terhadap kedalaman cadangannya."
Aave juga dapat menggunakan model keamanan Umbrella-nya untuk menutupi kerugian dalam wETH di bawah skenario pertama, mencatat bahwa 18.922 token Aave Wrapped ETH (aWETH) senilai hampir $43,7 juta telah memasuki fase pendinginan unstaking.
Skenario kedua akan mengalihkan seluruh kekurangan ke jaringan layer 2 Ethereum, seperti Arbitrum dan Mantle. Namun, utang buruk akan secara signifikan lebih tinggi, yaitu sebesar $230,1 juta.
LlamaRisk juga mencatat bahwa Aave memiliki sekitar $181 juta dalam treasurynya yang dapat digunakan untuk mengatasi potensi kekurangan utang buruk.
Terkait:Aave DAO mendukung rencana mainnet V4 dalam pemungutan suara yang hampir bulat
Pada hari Senin, Kelp DAO mengatakan masih menilai dampak finansial dari eksploitasi tersebut dan cara untuk membuka kembali protokol dengan aman, menambahkan bahwa mereka bekerja sama dengan Aave, LayerZero, dan pemangku kepentingan lainnya untuk menemukan jalan ke depan.
Kelp DAO juga berbagi detail lebih lanjut tentang insiden tersebut, mengatakan bahwa dua node yang terhubung ke bridge LayerZero telah dikompromikan, sementara yang ketiga terkena serangan distributed denial-of-service.
Penyerang memalsukan pesan transfer yang tampak valid yang disetujui oleh sistem, memungkinkan 116.500 rsETH dicetak di salah satu bridge LayerZero.
Kelp mengatakan telah menghentikan semua kontrak yang relevan di Ethereum dan layer 2 Ethereum serta memasukkan daftar hitam (blacklist) semua dompet yang terkait dengan penyerang tak lama setelah itu, mencegah mereka mencuri 40.000 rsETH lainnya senilai $95 juta.
Majalah:Apakah pengembang DeFi bertanggung jawab atas aktivitas ilegal pihak lain di platform mereka?
