Eksploitasi senilai $292 juta pada Kelp DAO telah memunculkan pertanyaan baru mengenai risiko di seluruh pasar restaking likuid dan pinjaman DeFi.
Serangan tersebut dilaporkan mempengaruhi bridge rsETH protokol dan melibatkan 116.500 rsETH, setara dengan sekitar 18% dari pasokan yang beredar.
Insiden ini tidak terbatas pada Kelp DAO. Aave mengalami penarikan besar-besaran, sementara SparkLend dan Fluid menghentikan pasar rsETH. Lido juga menghentikan earnETH, yang memiliki eksposur terhadap rsETH, meskipun produk inti stETH-nya tidak terpengaruh.
Sebuah postingan dari akun yang berfokus pada DeFi, yang dikenal sebagai @whatexchange di X, membandingkan peristiwa tersebut dengan krisis keuangan 2008. Akun tersebut menulis, “Penumpukan lapisan aset tidak menghilangkan risiko. Itu memampatkan dan menyembunyikannya.”
Postingan tersebut menyatakan bahwa rsETH bergerak melalui beberapa lapisan sebelum eksploitasi. Pengguna pertama-tama melakukan staking ETH melalui Lido dan menerima stETH. stETH tersebut kemudian dapat bergerak ke Kelp DAO dan EigenLayer, tempat rsETH dicetak.
Token rsETH kemudian digunakan sebagai jaminan di platform pinjaman seperti Aave, SparkLend, dan Fluid. Token ini juga di-bridge melalui LayerZero ke chain lain, menciptakan versi wrapped yang bergantung pada aset dasar yang sama.
Analisis tersebut membandingkan struktur ini dengan produk hipotek sebelum krisis 2008. Dikatakan bahwa kedua sistem mengemas ulang satu aset dasar melalui beberapa lapisan keuangan, sementara setiap lapisan bergantung pada lapisan sebelumnya yang berfungsi sebagaimana mestinya.
Setelah eksploitasi Kelp DAO, beberapa platform DeFi bergerak untuk mengurangi risiko. Aave membekukan pasar rsETH selama beberapa jam, sementara SparkLend dan Fluid menghentikan pasar serupa. Ethena juga menghentikan bridge OFT LayerZero sebagai tindakan pencegahan, meskipun tidak memiliki eksposur rsETH langsung.
Menurut postingan tersebut, lebih dari $6,2 miliar keluar dari Aave dalam waktu kurang dari 36 jam. Akun tersebut mengatakan masalah utamanya bukan hanya ukuran eksploitasi, tetapi juga kesulitan memetakan eksposur tidak langsung di seluruh protokol.
Postingan tersebut menyatakan, “Tidak ada peserta, termasuk protokol itu sendiri, yang dapat sepenuhnya memetakan jaringan eksposur mereka.” Ditambahkan bahwa ketika pengguna tidak dapat memverifikasi eksposur secara real time, mereka sering bereaksi dengan menarik dana.
Postingan tersebut juga berfokus pada keamanan bridge. Diklaim bahwa Kelp menggunakan pengaturan verifier 1-dari-1, yang berarti satu node memverifikasi pesan lintas chain sebelum dana bergerak. Postingan tersebut berpendapat bahwa desain ini menciptakan titik kegagalan tunggal di dalam produk yang dipasarkan sebagai terdesentralisasi.
Analisis tersebut juga mempertanyakan penumpukan yield. Dikatakan bahwa setiap lapisan menambah risiko baru, termasuk slashing validator, risiko restaking, bug bridge, kegagalan kontrak, dan likuidasi pinjaman.
Postingan tersebut mengatakan bahwa pengguna tidak boleh menilai produk DeFi hanya berdasarkan APY. Dikatakan bahwa pengembalian yang lebih tinggi sering kali mencerminkan risiko tersembunyi di beberapa sistem yang terhubung, bukan pendapatan pasif yang sederhana.
Eksploitasi Kelp DAO kini telah menjadi bagian dari perdebatan yang lebih luas tentang keamanan DeFi, leverage, dan transparansi. Insiden ini menunjukkan bagaimana satu kegagalan dapat mempengaruhi pengguna di beberapa platform, termasuk pengguna yang tidak berinteraksi langsung dengan Kelp DAO.
