#rsETHAttackUpdate: Rincian Lengkap Eksploitasi, Pemulihan, dan Pelajaran yang Dipetik

Komunitas keuangan terdesentralisasi (DeFi) diguncang pada 22 April 2026, ketika serangan canggih menargetkan kontrak token restaking likuid rsETH. rsETH, yang diterbitkan oleh Kelp DAO sebagai token tanda terima untuk posisi restaking EigenLayer, mengalami eksploitasi pada logika deposit dan penarikan intinya, yang menyebabkan drainase aset sementara sekitar $8,4 juta. Pos ini memberikan pembaruan rinci langkah demi langkah tentang insiden – dari vektor awal hingga post-mortem saat ini.
1. Apa itu rsETH dan Mengapa Itu Menjadi Target?
rsETH adalah token restaking likuid yang mewakili taruhan pengguna di beberapa layanan yang aktif divalidasi (AVS) melalui EigenLayer. Berbeda dengan stETH dari Lido yang sederhana, rsETH melibatkan logika pertukaran, pencetakan, dan pembakaran yang kompleks di beberapa pool. Penyerang sering menargetkan kontrak seperti ini karena panggilan lintas kontrak dan ketergantungan oracle harga menciptakan permukaan serangan.
Kerentanan yang dieksploitasi minggu ini bukan di protokol inti EigenLayer, tetapi di “bungkus deposit” kustom yang digunakan oleh Kelp DAO untuk menerima ETH dan LST (seperti stETH) sebagai imbalan rsETH. Bungkus ini, KelpDepositAdapterV2, memiliki fungsi receive() yang tidak terlindungi yang memungkinkan persetujuan token sembarangan dialihkan.
2. Garis Waktu Serangan – Bagaimana Terjadi
Fase 1 – Pengintaian (18-21 April)
Penyerang, yang didanai melalui Tornado Cash (0,5 ETH seed), mulai menyelidiki kontrak adapter. Data on-chain menunjukkan beberapa transaksi “pengujian” dengan jumlah kecil, untuk memeriksa bagaimana kontrak menangani reentrancy dan delegatecall.
Fase 2 – Eksekusi Eksploitasi (22 April, 14:32 UTC)
Menggunakan pinjaman kilat sebesar 5.000 ETH dari Aave V3, penyerang memanggil fungsi depositLST dari adapter. Bug memungkinkan mereka melewatkan parameter bytes berbahaya yang menimpa alamat pool internal. Akibatnya, adapter mengirim dana pengguna ke pool Lido palsu yang dikendalikan oleh penyerang.
Melalui pengulangan pinjaman kilat dan pertukaran, mereka menguras sekitar 1.280 rsETH dari pool likuiditas di Uniswap V3 (Arbitrum) dan 740 rsETH dari pool 80/20 Balancer. Kerugian total dalam dolar saat itu sekitar ~$8,4 juta.
Fase 3 – Penemuan dan Penangguhan (14:45 UTC)
Bot pemantau Kelp DAO menandai penggunaan gas depositLST yang tidak normal. Dalam waktu 13 menit, tim menangguhkan semua deposit dan penarikan melalui multisig admin. Ini mencegah eksploitasi lebih lanjut terhadap dana yang tersisa, tetapi aset yang sudah dicuri telah ditukar ke DAI dan dibawa ke mainnet Ethereum.
3. Respon Segera dan Dampak Pengguna
Tim Kelp DAO segera menerbitkan pembaruan status di Discord dan Twitter resmi mereka, mengakui bahwa:
· Tidak ada dana pengguna di vault restaking #rsETHAttack. EigenLayer( yang langsung dikompromikan.
· Hanya kontrak adapter deposit )yang menyimpan deposit tertunda selama ~6 jam( yang terdampak.
· Harga rsETH di pasar sekunder sementara turun 12% tetapi pulih setelah penangguhan.
Post-mortem resmi dibagikan dalam waktu 6 jam, mencantumkan alamat yang terdampak. Sekitar 340 depositor unik yang menggunakan adapter dalam 12 jam sebelumnya mengalami kerugian unrealized. Tim berkomitmen untuk rencana penggantian penuh menggunakan dana DAO dan dana asuransi )Nexus Mutual( yang memiliki polis hingga $5 juta).
4. Penyebab Utama: Kurangnya Pengaman Reentrancy dan Manipulasi Oracle
Dua kekurangan kritis diidentifikasi di KelpDepositAdapterV2:
· Tidak adanya modifier nonReentrant pada depositLST. Ini memungkinkan penyerang memanggil fungsi secara rekursif sebelum status diperbarui, secara efektif mengklaim rsETH ganda.
· Ketergantungan pada feed harga satu rantai dari pool Curve dengan likuiditas rendah untuk konversi LST/ETH. Dengan memanipulasi rasio pool tersebut melalui pinjaman kilat, penyerang membuat kontrak menilai deposit mereka terlalu tinggi.
Setelah penangguhan, tim mengembangkan adapter tetap (V3) dengan ReentrancyGuard dari OpenZeppelin dan beralih ke oracle ETH/LST teragregasi dari Chainlink (yang menggunakan harga median dari lima pool dengan likuiditas tinggi).
5. Status Saat Ini (24 April 2026)
· Pemulihan Dana: Detektif on-chain melacak DAI yang dibawa penyerang ke alamat baru. Penyerang mengembalikan 5.200 ETH (sekitar $9,1 juta) pada 23 April setelah negosiasi melalui pesan whitehat, menyimpan bounty 5%. Semua depositor yang terdampak telah dipulihkan.
· Pembaruan Kontrak: alamat kontrak adapter baru (0x...c7D9) telah aktif selama 24 jam dengan keamanan yang ditingkatkan. Deposit dan penarikan telah dilanjutkan. Tim juga membatasi batas deposit harian hingga $2 juta( sementara audit pihak ketiga )oleh Quantstamp( sedang diselesaikan.
· Tindakan Pengguna Diperlukan: Tidak ada tindakan pengguna yang diperlukan untuk pemegang rsETH yang ada – saldo token mereka tetap valid. Namun, siapa pun yang berinteraksi dengan fungsi depositLST dari adapter lama selama jendela eksploitasi harus mengklaim pengembalian dana mereka melalui portal klaim khusus )tanpa tautan di sini – periksa saluran resmi Kelp DAO saja#rsETHAttackUpdate .
6. Pelajaran untuk Ekosistem DeFi
Ini menjadi pengingat lain akan empat prinsip utama:
1. Kontrak adapter harus diperlakukan sebagai risiko tinggi. Bahkan jika lapisan dasar (EigenLayer) aman, pembungkus di sekitarnya membutuhkan pengawasan yang sama seperti protokol pinjaman.
2. Pengujian simulasi pinjaman kilat harus menjadi bagian wajib dalam pipeline CI/CD. Vektor serangan yang digunakan di sini akan terdeteksi oleh alat seperti Echidna atau Medusa fuzzing.
3. Mekanisme penangguhan menyelamatkan dana. Waktu respons Kelp selama 13 menit sangat baik – tetapi bergantung pada multisig 3-dari-5. Pemutus sirkuit otomatis yang lebih cepat (berbasis volume deposit abnormal) sekarang sedang ditambahkan.
4. Transparansi membangun kepercayaan. Keputusan tim untuk menerbitkan post-mortem lengkap, termasuk alamat yang terdampak dan negosiasi bounty, mencegah kepanikan dan teori konspirasi.
Kesimpulan
Hingga saat penulisan ini, rsETH tetap sepenuhnya dijamin, semua dana pengguna telah dipulihkan, dan protokol telah menjalani tiga audit kontrak pintar baru. Eksploitasi ini, meskipun menegangkan bagi deposan, tidak mengakibatkan kerugian permanen – berkat respons cepat dan whitehat yang kooperatif. Untuk pembaruan berkelanjutan, ikuti saluran komunikasi resmi Kelp DAO (Discord, Twitter, dan forum governance mereka). Selalu verifikasi alamat kontrak secara independen dan jangan pernah menyetujui transaksi dari tautan tidak resmi.