Jembatan Kelp terdampak peretasan, Aave, TVL anjlok memunculkan kredit macet sebesar 196 juta

Perjanjian penjaminan ulang likuiditas Kelp Bridge lintas-chain diserang pada hari Sabtu. Penyerang mencuri 116.500 rsETH (sekitar 292 juta dolar AS) dan memasukkan token curian tersebut ke Aave V3 sebagai jaminan, untuk meminjam Ether dalam bentuk yang dibungkus (WETH) dalam jumlah besar. Meski kontrak protokol Aave tidak terdampak, serangan ini menciptakan piutang macet sekitar 196 juta dolar AS di buku besar, dan TVL platform anjlok hingga sekitar 20 miliar dolar AS.

Jalur Serangan: Bagaimana celah pada jembatan Kelp secara tidak langsung memicu piutang macet Aave

Pintu masuk serangan ini bukanlah Aave itu sendiri, melainkan jembatan lintas-chain Kelp. Pada hari Sabtu, penyerang membujuk pen-sender jembatan Kelp untuk melepaskan 116.500 rsETH ke alamat yang mereka kendalikan. rsETH adalah token bukti jaminan ulang likuiditas Kelp, yang merepresentasikan imbal hasil dari ether yang dipertaruhkan melalui EigenLayer.

Penyerang kemudian menyimpan rsETH yang dicuri tersebut ke Aave V3 sebagai jaminan dan meminjam WETH. Karena aset jaminan yang mendasarinya telah lenyap pada lapisan jembatan yang tidak dapat dijangkau oleh Aave, posisi pinjaman ini pada kenyataannya menjadi piutang macet yang tidak bisa ditagih. Data on-chain menunjukkan piutang macet Aave sekitar 196 juta dolar AS, dengan total open interest sekitar 236 juta dolar AS untuk Aave, Compound, dan Euler.

Penyebab Konsentrasi Piutang Macet: Pasangan transaksi rsETH/WETH mendominasi buku Aave

Buku pinjaman Aave mencakup 22 blockchain, tetapi mainnet Ethereum memegang 142,4 miliar dolar AS dari 178,2 miliar dolar AS pinjaman yang belum dilunasi, dan WETH menyumbang 39,49% dari seluruh pinjaman Aave. Serangan ini secara tepat menargetkan pasangan pinjaman jaminan rsETH/WETH dengan skala terbesar dalam buku Aave, menjelaskan mengapa piutang macet sangat terkonsentrasi dan tidak menyebar ke seluruh platform.

Pendirí Aave, Stani Kulechov, mengonfirmasi bahwa ini adalah serangan eksternal dan kontrak protokol tidak mengalami kerusakan. Namun, Aave menerima rsETH sebagai jaminan, dan keamanan aset dasarnya bergantung pada lapisan jembatan lintas-chain di luar cakupan kendali Aave; pada akhirnya, bagaimanapun juga, risiko kerugian ditanggung oleh para penyetor.

Ketidakpastian Mekanisme Cadangan Umbrella: Risiko potensial bagi pemegang stkAAVE

Awalnya, Aave menyatakan bahwa dana cadangan Umbrella akan menutupi setiap kekurangan, tetapi pada Sabtu sore pernyataan resmi telah dilunakkan menjadi “mengeksplorasi cara untuk menutup kekurangan”, yang menunjukkan bahwa ukuran cadangan mungkin tidak cukup untuk sepenuhnya menutup celah piutang macet sebesar 196 juta dolar AS.

Jika dana cadangan Umbrella tidak dapat menutupi kerugian sepenuhnya, sesuai mekanisme desain Aave, pemegang stkAAVE (token AAVE yang dipertaruhkan) mungkin perlu menanggung sebagian kerugian; ini adalah salah satu alasan mendalam mengapa token AAVE mengalami tekanan 16% dalam kejadian kali ini.

Pelajaran yang lebih luas: Titik buta risiko sistemik dari jaminan LRT

Pelajaran utama dari kejadian ini melampaui lingkup Kelp dan Aave itu sendiri. Token jaminan ulang likuiditas (LRT) telah dimasukkan ke daftar putih sebagai aset jaminan oleh semua protokol pinjam-meminjam DeFi utama, dengan alasan bahwa ia memiliki karakteristik penghasil imbal hasil dan merepresentasikan nilai yang terkunci di Ethereum yang proporsinya terus meningkat. Namun, model risiko yang ada saat memberi harga LRT mengasumsikan bahwa LRT akan mempertahankan nilai jangkar dalam kondisi pasar normal, dan tidak mempertimbangkan skenario ekstrem seperti serangan terhadap jembatan yang mendasarinya dan aset jaminan yang seketika bernilai nol.

Trader Altcoin Sherpa di X menunjukkan: “AAVE adalah pilar DeFi, yang menyimpan dana bernilai miliaran dolar. Ketika AAVE mengalami risiko penularan, ini menandakan kerapuhan seluruh sistem.”

Pertanyaan yang sering diajukan

Apakah kontrak protokol Aave disusupi dalam serangan ini?

Tidak. Pendirí Aave, Stani Kulechov, dengan tegas menyatakan bahwa ini adalah serangan eksternal, dan kontrak pintar Aave tidak mengalami kerusakan. Piutang macet timbul karena Aave menerima rsETH sebagai jaminan, dan aset dasarnya menghilang setelah jembatan lintas-chain Kelp yang tidak dapat dijangkau oleh Aave diserang, sehingga posisi pinjaman terkait menjadi piutang macet yang tidak bisa ditagih.

Bagaimana mekanisme cadangan Umbrella Aave bekerja, dan mengapa pemegang stkAAVE menghadapi risiko?

Umbrella adalah modul keamanan Aave yang dirancang untuk menangani kekurangan piutang macet protokol. Ketika dana cadangan tidak dapat menutupi kerugian sepenuhnya, pemegang stkAAVE (yaitu pengguna yang mempertaruhkan token AAVE) sebagai garis pertahanan terakhir, token pertaruhannya mungkin dipotong (Slashing) untuk menutup kekurangan. Dalam kejadian ini, apakah cadangan Umbrella dapat menutup piutang macet 196 juta dolar AS masih belum pasti, dan inilah alasan inti mengapa token AAVE mengalami tekanan besar kali ini.

Apa dampak sistemik kejadian ini terhadap pasar pinjam-meminjam DeFi?

Kejadian ini mengungkap titik buta sistemik untuk aset jaminan tipe LRT: protokol pinjam-meminjam secara luas menerima LRT sebagai jaminan, tetapi sesungguhnya memasukkan risiko keamanan jembatan ke dalam buku pinjaman. Kegagalan keamanan dari protokol jembatan mana pun yang terkait dapat menyebabkan piutang macet yang tidak terduga pada protokol pinjam-meminjam yang menerima LRT tersebut. Ini mengharuskan setiap protokol DeFi untuk menilai ulang model risiko aset jaminan LRT, rasio jaminan, dan penetapan batas kepemilikan.