Bagikan artikel ini
Aave melakukan perombakan standar pencatatan setelah eksploitasi rsETH senilai $230 juta mengungkap risiko jembatan
Sebuah laporan resmi pasca kejadian melacak eksploitasi tersebut ke kegagalan verifikasi jembatan LayerZero dan menguraikan perombakan menyeluruh terhadap standar pencatatan aset Aave seiring risiko DeFi bergeser melampaui bug kontrak pintar.
Yang perlu diketahui:
- Aave menyatakan bahwa eksploitasi rsETH 2026 yang menjadi rekor berasal dari kegagalan pada jembatan KelpDAO yang didukung oleh LayerZero, bukan dari bug pada smart contract milik Aave sendiri, yang mendorong dilakukannya tinjauan menyeluruh terhadap semua aset V3 dan standar pencatatan.
- Dalam postmortem-nya, Aave menjelaskan bagaimana para penyerang menyalahgunakan satu verifier LayerZero untuk memalsukan pesan lintas-rantai dan mencetak 116.500 rsETH tanpa jaminan di Ethereum, yang mengungkap risiko tersembunyi pada jembatan dan infrastruktur off-chain lainnya.
- Aave berencana untuk merombak kerangka risiko mereka guna mengawasi jembatan, oracle, kustodian, dan keamanan operasional, menambahkan pertahanan otomatis yang dapat segera mencabut kekuatan pinjaman dari jaminan, serta telah melakukan ratusan perubahan parameter untuk membatasi eksposur.
Yang paling mahal Serangan DeFi tahun 2026 dimulai dengan jembatan ether yang telah di-restake dari KelpDAO (rsETH), bukan bug dalam kode Aave. Itu, protokol pinjaman menyatakan dalam sebuah laporan resmi postmortem diterbitkan minggu ini, inilah sebabnya mengapa industri perlu memikirkan kembali cara mengukur risiko.
Aave mengatakan akan meluncurkan tinjauan terhadap setiap aset yang terdaftar di V3 dan menulis ulang standar pencatatannya setelah eksploitasi $230 juta pada ETH yang dipertaruhkan ulang pada bulan April mengungkapkan kelas risiko DeFi baru.
Postmortem protokol tersebut menelusuri serangan bukan karena kelemahan pada smart contract Aave, melainkan akibat kegagalan verifikasi jembatan LayerZero, di mana seorang verifier tunggal menyetujui pesan lintas rantai palsu yang melepaskan 116.500 rsETH tanpa jaminan.
Ke depannya, Aave menyatakan bahwa penilaian jaminan akan mempertimbangkan jembatan, ketergantungan oracle, kustodian, serta keamanan operasional bersamaan dengan risiko keuangan dan kontrak pintar yang selama ini telah diperiksa secara tradisional.
KelpDAO adalah layanan "restaking" yang memungkinkan pengguna mengambil ether mereka yang sudah terkunci di Ethereum untuk memperoleh imbal hasil staking dan menggunakannya kembali sebagai agunan guna mendapatkan hasil tambahan dari protokol lain. Token rsETH mewakili klaim pengguna atas ether yang telah di-restake tersebut. Untuk memindahkan rsETH antar blockchain, KelpDAO menggunakan LayerZero, sebuah infrastruktur yang disebut jembatan lintas rantai (cross-chain bridge) yang mengirimkan pesan antar jaringan sehingga token yang diterbitkan di satu rantai dapat muncul di rantai lain.
Jembatan mengandalkan serangkaian verifikator independen yang memastikan setiap pesan adalah asli sebelum rantai penerima melepaskan token yang setara.
Dalam serangan bulan April, hanya satu dari verifikator tersebut yang menyetujui pesan palsu, yang memungkinkan penyerang mencetak 116.500 rsETH di rantai penerima tanpa adanya dukungan ether yang sebenarnya.
Token-token tersebut kemudian disetorkan ke Aave, sebuah protokol pinjaman di mana pengguna meminjam dengan jaminan yang mereka berikan, dan digunakan untuk mengambil pinjaman yang tidak dapat dipulihkan oleh Aave setelah rsETH terungkap tidak memiliki nilai. Kode milik Aave berfungsi persis seperti yang dirancang. Jaminan yang diterimanya ternyata palsu karena jembatan pengiriman yang mengantarkannya telah dikompromikan.
Sementara LayerZero mengakui awal bulan ini bahwa itu "buat kesalahan" dengan memungkinkan sistem verifikasinya sendiri untuk mengamankan aset bernilai tinggi dalam konfigurasi satu-satunya, postmortem Aave melangkah lebih jauh dengan menggunakan insiden tersebut untuk membenarkan perombakan yang lebih luas dalam manajemen risiko DeFi.
Protokol tersebut berargumen bahwa tinjauan tradisional yang berfokus pada volatilitas, likuiditas, dan audit kontrak pintar gagal menangkap risiko yang diciptakan oleh jembatan, jaringan verifikasi, dan infrastruktur lain yang berada di luar kode aplikasi.
Selain audit kontrak pintar dan analisis risiko keuangan, Aave menyatakan bahwa mereka kini akan mengevaluasi infrastruktur jembatan, ketergantungan oracle, kontrak pihak ketiga, pengaturan kustodian, praktik keamanan operasional, serta likuiditas pasar sekunder sebelum menyetujui atau memperluas daftar agunan.
Protokol ini juga sedang membangun pertahanan otomatis baru yang dirancang untuk bereaksi lebih cepat ketika aset jaminan menunjukkan tanda-tanda kesulitan. Di antara proposal yang dijabarkan dalam postmortem adalah sistem yang secara otomatis akan mengurangi rasio pinjaman-terhadap-nilai suatu aset menjadi nol setelah ambang risiko yang telah ditentukan dilampaui, menghilangkan kemampuan peminjaman sebelum kerugian dapat menyebar ke pasar yang lebih luas.
Sejak terjadinya eksploitasi, Aave menyatakan bahwa manajer risikonya telah melaksanakan sekitar 295 perubahan parameter di pasar V3, termasuk 168 pengurangan batas pasokan dan 66 pengurangan batas pinjaman yang bertujuan untuk membatasi eksposur terhadap aset individu.
Seiring protokol DeFi menjadi semakin saling terhubung, laporan pasca-kejadian Aave menyarankan bahwa industri mungkin perlu mengkaji tidak hanya aset yang terdaftar, tetapi juga infrastruktur yang menjadi tumpuan aset tersebut
More For You
Pandangan Anda tentang apa yang akan datang pada minggu yang dimulai pada 1 Juni.
What to know:
Crypto Week Ahead adalah daftar komprehensif tentang apa yang akan datang di dunia cryptocurrency dan blockchain, serta peristiwa makroekonomi utama yang akan memengaruhi pasar aset digital.
Berita Utama
