Laporan Insiden: Llamarisk dan Penyedia Layanan Aave Menguraikan Peretasan rsETH Kelp di Pasar Ethereum dan Arbitrum

Poin Utama:

• Menurut Llamarisk, seorang penyerang mengeksploitasi jembatan Layerzero V2 milik Kelp pada 18 April 2026, mencetak 116.500 rsETH tanpa pembakaran yang sesuai.
• Llamarisk memperkirakan kerugian antara $123,7 juta dan $230,1 juta di 7 pasar yang terkena dampak, tergantung pada bagaimana Kelp membagi kerugian tersebut.
• Kas Aave DAO memiliki $181 juta per 20 April 2026, dan penyedia layanan sudah mendapatkan komitmen pemulihan indikatif dari para peserta ekosistem.

Llamarisk Merinci Skenario Eksploitasi rsETH Setelah Adaptor OFT Kelp Habis

Analisis yang diterbitkan oleh perusahaan manajemen risiko Llamarisk dan penyedia layanan Aave sebagai penulis bersama menjelaskan bahwa serangan terjadi pada pukul 17:35 UTC di blok Ethereum 24.908.285. Rute Unichain-ke-Ethereum dikonfigurasi sebagai jalur DVN 1-of-1, yang berarti satu verifikator dapat mengesahkan paket masuk tanpa tindakan keluar yang sesuai, menurut laporan tersebut.

Penulis Llamarisk mengatakan penyerang memalsukan paket yang diverifikasi, dikonfirmasi, dan dikirimkan di Ethereum, melepaskan 116.500 rsETH dari adaptor, seperti dicatat dalam laporan Aave. Saldo adaptor turun dari 116.723 rsETH menjadi 223 rsETH dalam satu blok. Penyerang menyebarkan rsETH yang dicuri dari satu dompet penerima ke tujuh alamat cabang. Dari 116.500 rsETH yang diterima, 89.567 di antaranya disetorkan ke pasar Aave V3 di Ethereum dan Arbitrum sebagai jaminan.
Posisi tersebut digunakan untuk meminjam sekitar 82.650 WETH dan 821 wstETH, dengan faktor kesehatan berkisar antara 1,01 dan 1,03. Ketujuh alamat penyerang tersebut masih aktif di Aave pada saat publikasi.

Penyedia layanan Aave turut menyusun laporan insiden lengkap Llamarisk dan mengonfirmasi bahwa kontrak pintar Aave sendiri tidak disusupi. Seluruh logika protokol, termasuk mekanisme penawaran, pembayaran kembali, dan likuidasi, terus berfungsi sesuai desain selama peristiwa tersebut.
The Protocol Guardian mulai membekukan semua cadangan rsETH dan wrsETH di seluruh implementasi Aave V3 pada sekitar pukul 19:00 UTC pada 18 April. Tindakan tersebut menetapkan LTV menjadi nol dan menonaktifkan penambahan pasokan baru serta peminjaman, sementara posisi yang sudah ada tetap memenuhi syarat untuk pelunasan dan likuidasi. Sebelas pasar di Ethereum, Arbitrum, Avalanche, Base, Ink, Linea, Mantle, MegaETH, Plasma, dan Zksync terpengaruh, menurut analisis forum Aave.

Laporan tersebut menyebutkan bahwa Risk Steward menyesuaikan model suku bunga WETH di Arbitrum, Base, Mantle, dan Linea pada sekitar pukul 14:30 UTC tanggal 19 April, dengan menurunkan Slope 2 menjadi 1,50 persen dan memangkas suku bunga pinjaman pada tingkat pemanfaatan 100 persen dari antara 8,5 hingga 10,5 persen menjadi 3,0 persen APR. Penyesuaian serupa diterapkan pada Core sekitar pukul 05:00 UTC pada 20 April, dengan Slope 1 ditetapkan sebesar 2 persen, Slope 2 sebesar 3 persen, dan tingkat pemanfaatan optimal ditetapkan sebesar 94 persen.

Protocol Guardian juga membekukan WETH di Core, Prime, Arbitrum, Base, Mantle, dan Linea sekitar pukul 02:00 UTC pada tanggal 20 April untuk mencegah pinjaman baru dan menahan potensi tekanan agar tidak menyebar ke cadangan stablecoin.

2 Skenario

Dua skenario yang dimodelkan oleh analisis Llamarisk mencerminkan bagaimana keputusan alokasi kerugian Kelp akan menentukan eksposur akhir protokol. Skenario 1 mengasumsikan pembagian merata dari 112.204 rsETH yang tidak didukung di seluruh pasokan rsETH, menghasilkan devaluasi sebesar 15,12 persen dan perkiraan utang buruk sebesar $123,7 juta, dengan Ethereum Core menanggung $91,8 juta secara absolut dan Mantle menghadapi kekurangan cadangan WETH sebesar 9,54 persen.

Skenario 2 memperlakukan kerugian sebagai hal yang terisolasi pada rsETH L2 saja, menerapkan pemotongan 73,54 persen pada jaminan di rantai jarak jauh sementara rsETH di mainnet Ethereum tetap utuh, menghasilkan perkiraan utang macet sebesar $230,1 juta yang terkonsentrasi di Mantle dengan kekurangan cadangan WETH sebesar 71,45 persen dan Arbitrum sebesar 26,67 persen.

Saldo adapter saat ini berada di 40.373 rsETH, satu-satunya jaminan yang dikonfirmasi untuk semua rsETH rantai jarak jauh di seluruh jalur L2, dibandingkan dengan total klaim jarak jauh sebesar 152.577 rsETH. Kelp belum mengonfirmasi secara publik bagaimana dana yang dipulihkan akan dialokasikan.

Per 20 April 2026, laporan tersebut menyebutkan bahwa kas Aave DAO memegang aset senilai $181 juta, termasuk $62 juta dalam kepemilikan yang terkait dengan Ethereum, $54 juta dalam AAVE, dan $52 juta dalam stablecoin. DAO menghasilkan pendapatan sebesar $145 juta pada tahun 2025 dan $38 juta secara year-to-date pada tahun 2026. Llamarisk mengonfirmasi bahwa beberapa komitmen indikatif dari peserta ekosistem telah ada untuk menangani skenario utang macet potensial.
Cadangan WETH di Ethereum, Arbitrum, Base, Linea, dan Mantle berada pada tingkat pemanfaatan 100 persen, dengan saldo idle di bawah $20 di setiap rantai. Pada tingkat pemanfaatan penuh, likuidator menerima aWETH alih-alih WETH yang mendasarinya, yang memperlambat throughput likuidasi.

Laporan Llamarisk menandai Base dan Arbitrum sebagai pasar dengan bantalan terendah, dengan likuidasi pertama dipicu pada penurunan harga WETH sebesar 0,77 persen dan 1,77 persen, masing-masing, karena posisi berjalan pada faktor kesehatan sekitar 1,03.

Llamarisk merekomendasikan penundaan segera modul staking WETH Umbrella di bawah Skenario 1. Pada saat laporan ini diterbitkan, 18.922 dari 23.507 aWETH yang di-stake telah memasuki masa tunggu pencairan.

Penangguhan akan memblokir setoran, penarikan, transfer, dan pemotongan (slashing) sambil tetap mempertahankan distribusi hadiah. Empat pasar rsETH lainnya, yaitu Ethereum Lido, MegaETH, Plasma, dan Zksync, memiliki saldo yang sangat kecil dan tidak memiliki utang macet. Dua belas pasar Aave V3 lainnya tidak mencantumkan rsETH dan tidak terpengaruh.