Kurang dari sehari setelah penyerang menguras $291 juta dalam kripto dari infrastruktur yang terhubung dengan proyek keuangan terdesentralisasi Kelp DAO, pengguna Aave, salah satu protokol DeFi yang paling teruji, kesulitan menarik dana di tengah krisis likuiditas.

Jembatan yang biasanya memungkinkan pengguna untuk memindahkan aset bernama rsETH dari satu jaringan ke jaringan lain dieksploitasi pada hari Sabtu, mendorong Aave untuk membekukan pasar yang terkait dengan token tersebut, yang telah digunakan penyerang untuk meminjam dana dari platform, kata protokol pinjaman tersebut dalam postingan X.

Sementara itu, Kelp DAO mengatakan dalam postingan X bahwa mereka telah “menghentikan sementara kontrak rsETH” di seluruh mainnet Ethereum dan beberapa jaringan penskalaan layer-2 saat menyelidiki aktivitas mencurigakan.

Aktivitas penyerang di Aave menyebabkan tingkat pemanfaatan (utilization rate) dari pool pinjaman inti melonjak hingga 100%, menandakan bahwa pengguna yang sebelumnya menyetor Ethereum dan wrapped Ethereum hanya memiliki sedikit atau bahkan tidak ada likuiditas untuk ditarik, menunjukkan data Aavescan.

Satu jam sebelum Aave mengunci pasar, perusahaan keamanan blockchain PeckShield menandai sebuah transaksi yang menunjukkan 116.500 rsETH, senilai $291 juta pada saat itu, mengalir ke dompet baru.

Para penyerang tidak melarikan diri dengan rsETH yang telah dilepaskan secara jahat dari jembatan. Sebaliknya, mereka menggunakan Aave untuk meminjam dana reguler, menciptakan “hutang buruk yang besar,” kata Francesco Andreoli, kepala hubungan pengembang di Consensys dan MetaMask, dalam postingan X. (Penafian: Consensys adalah salah satu dari banyak investor di Decrypt yang independen secara editorial.)

Token tata kelola Aave anjlok menjadi $90,13 pada hari Minggu, penurunan 16% selama sehari terakhir, menurut CoinGecko. Ethereum turun 2% menjadi $2.300 pada periode yang sama.

Saat pengguna kesulitan menarik diri dari Aave, mereka mulai meminjam dengan jaminan simpanan mereka dalam stablecoin, semakin memperparah likuiditas sebagai tanda “efek samping negatif,” kata monetsupply.eth, kepala strategi pseudonim di proyek DeFi Spark, dalam postingan X.

Eksploitasi Kelp DAO dan dampaknya pada Aave memicu gelombang penarikan besar-besaran dari beberapa protokol DeFi, bahkan yang tidak terpengaruh, menurut 0xngmi, salah satu pendiri pseudonim dari penyedia data DefiLlama. Secara bersih, pengguna telah menarik $6,2 miliar dari Aave saja pada Minggu pagi, kata mereka dalam postingan X.

Dengan penyebaran penularan yang terlihat, eksploitasi terbaru DeFi memberikan “banyak amunisi” bagi para kritikus yang skeptis terhadap sistem yang berusaha menggantikan perantara keuangan tradisional dengan kode, kata Salman Banei, penasihat umum di Plume, jaringan yang berfokus pada tokenisasi, dalam postingan X.

Kelp DAO menerbitkan rsETH, token staking likuid yang memungkinkan pengguna memperoleh hadiah staking Ethereum dan restaking EigenLayer. Ini bertindak sebagai “tanda terima” yang dapat diperdagangkan untuk deposan Kelp DAO. Jembatan Kelp DAO dibangun di atas infrastruktur yang dirancang oleh LayerZero, sebuah protokol yang memungkinkan aplikasi DeFi untuk mengirim pesan dan mentransfer aset antar blockchain.

Stacy Muur, seorang peneliti blockchain terkemuka, mengatakan dalam postingan X bahwa eksploitasi tersebut tampaknya bergantung pada satu titik kegagalan. Dia menulis bahwa pesan “phantom” yang digunakan oleh penyerang pada dasarnya menipu jembatan Kelp DAO untuk melepaskan rsETH di Ethereum tanpa menghilangkan jumlah token yang sesuai dari peredaran di Unichain layer-2 Ethereum.

Meskipun demikian, beberapa pengamat sangat ingin menemukan jalan ke depan, termasuk pengusaha kripto dan pendiri Tron Justin Sun. Dia mencoba bernegosiasi, dengan alasan bahwa para penyerang pada akhirnya akan kesulitan untuk membelanjakan dana yang dicuri.

“Berapa banyak yang Anda inginkan?” tanyanya kepada mereka dalam postingan X. “Sama sekali tidak sepadan untuk mengorbankan Aave dan Kelp DAO dan membiarkan mereka runtuh karena peretasan ini.”