#rsETHAttackUpdate

Industri keuangan terdesentralisasi telah menghadapi banyak insiden keamanan selama bertahun-tahun, tetapi eksploitasi jembatan rsETH pada 18 April 2026 menonjol sebagai salah satu serangan paling serius dan edukatif yang pernah dilihat ekosistem. Ini bukan sekadar peretasan protokol lainnya—ini adalah serangan langsung terhadap struktur kepercayaan yang mendukung keuangan lintas rantai, restaking cair, dan pinjaman berbasis jaminan di seluruh Ethereum.

KelpDAO, salah satu protokol restaking cair terpenting di ekosistem Ethereum, menjadi pusat perhatian setelah penyerang mengeksploitasi infrastruktur jembatan yang didukung LayerZero dan mencetak 116.500 token rsETH yang tidak didukung. Nilai total dari eksploitasi ini mencapai sekitar 292 juta dolar, menjadikannya salah satu serangan DeFi terbesar tahun ini dan salah satu contoh kegagalan jembatan yang paling berbahaya.

Untuk memahami skala kejadian ini, penting untuk memahami rsETH itu sendiri. KelpDAO memungkinkan pengguna untuk menyetor ETH dan menerima rsETH sebagai gantinya, sebuah token restaking cair yang mewakili Ethereum yang dipertaruhkan sambil tetap memungkinkan pengguna untuk mengerahkan nilai tersebut ke berbagai aplikasi DeFi seperti pinjaman, pertanian, dan strategi leverage. Ini membuat rsETH sangat terintegrasi di berbagai protokol.

Masalah dimulai dari sistem verifikasi jembatan. Alih-alih menggunakan model keamanan desentralisasi yang kuat, jembatan bergantung pada pengaturan verifikasi 1-dari-1 yang berbahaya. Ini berarti hanya satu validator yang bertanggung jawab untuk mengonfirmasi apakah pesan transfer lintas rantai tersebut sah. Setelah titik kepercayaan itu dikompromikan, penyerang mendapatkan kemampuan untuk membuat konfirmasi transfer palsu.

Tidak diperlukan pencurian kunci pribadi. Tidak diperlukan bug kontrak pintar. Kontrak bekerja persis seperti yang dirancang—kelemahan sebenarnya adalah model kepercayaan itu sendiri.
Dengan memalsukan pesan jembatan palsu, penyerang menipu sistem untuk mencetak token rsETH yang tidak pernah didukung oleh setoran ETH nyata. Secara sederhana, jaminan palsu masuk ke dalam sistem DeFi yang disamarkan sebagai nilai yang sah.

Yang membuat serangan ini sangat strategis adalah langkah berikutnya dari penyerang. Alih-alih langsung menjual rsETH yang dicuri dan merusak harga token, mereka menggunakan token yang baru dicetak sebagai jaminan di berbagai protokol pinjaman seperti Aave dan platform terintegrasi lainnya. Ini memungkinkan mereka meminjam ETH nyata dan aset berharga lainnya sambil menunda kepanikan pasar sementara.

Metode ini menciptakan masalah yang jauh lebih dalam daripada sekadar menjual token. Platform pinjaman tiba-tiba menemukan diri mereka memegang kewajiban yang didukung oleh aset yang tidak pernah nyata. Meskipun protokol tersebut memiliki sistem likuidasi yang berfungsi dan pemeriksaan jaminan normal, mereka tetap terpapar karena jaminan itu sendiri adalah palsu.

Aave dan beberapa pasar pinjaman dengan cepat merespons dengan membekukan posisi yang terdampak dan menghentikan operasi berisiko. Kontrol darurat membantu mencegah kerusakan yang lebih luas, tetapi masalah utang buruk sudah masuk ke dalam sistem. Ini menyoroti salah satu risiko tersembunyi terbesar dari DeFi: komposabilitas.

Protokol DeFi terhubung seperti domino. Kelemahan satu protokol dapat dengan cepat menjadi krisis bagi protokol lain. Eksploitasi rsETH membuktikan bahwa kegagalan jembatan tidak tetap terisolasi—ia menyebar melalui sistem pinjaman, leverage, staking, dan likuiditas di seluruh ekosistem.

Peristiwa ini juga menimbulkan kekhawatiran serius tentang standar keamanan jembatan di seluruh pasar. Banyak protokol fokus secara besar-besaran pada audit kontrak pintar sambil mengabaikan asumsi validator, ketergantungan oracle, dan struktur verifikasi pesan. Pada kenyataannya, konfigurasi kepercayaan seringkali lebih berbahaya daripada kerentanan kode.

Bagi pengguna, pelajarannya jelas: risiko DeFi tidak hanya tentang volatilitas harga token. Ini termasuk risiko infrastruktur, paparan jembatan, asumsi kepercayaan validator, dan ketergantungan tersembunyi antar protokol.
Bagi pembangun, pesannya bahkan lebih kuat. Titik kegagalan tunggal harus dihilangkan. Verifikasi multi-validator, arsitektur jembatan yang lebih kuat, sistem respons darurat yang lebih lambat, dan kontrol risiko jaminan yang lebih ketat tidak lagi opsional—mereka adalah kebutuhan untuk bertahan.

Eksploitasi rsETH menyakitkan, tetapi juga merupakan panggilan bangun. Setiap serangan besar memaksa DeFi untuk matang. Yang satu ini mungkin menjadi momen yang secara permanen mengubah cara industri mendekati keamanan jembatan.
Karena ini bukan sekadar eksploitasi senilai 292 juta dolar.
Ini adalah peringatan untuk seluruh dunia DeFi.
Dan protokol yang belajar darinya akan bertahan di siklus berikutnya—sementara yang mengabaikannya mungkin menjadi headline berikutnya.
‍#GateSquare #ContentMining #Gate13周年