Peristiwa peretasan besar terjadi di dunia kripto pada hari Sabtu (18/4) waktu Amerika Serikat. Peretas atau hacker menyerang sistem yang dikenal sebagai cross-chain bridge atau jembatan lintas-blockchain, menyebabkan kerugian diperkirakan sebesar US$ 293 juta atau setara dengan Rp 5 triliun (kurs Rp 17.170 per US$). Peristiwa ini menjadi salah satu peretasan terbesar di sektor keuangan terdesentralisasi (DeFi) tahun ini.
Jembatan lintas-blockchain adalah teknologi yang menghubungkan berbagai jaringan blockchain agar bisa saling bertukar aset. Dalam peristiwa ini, peretas berhasil mengambil sekitar 116.500 rsETH, yaitu token yang diterbitkan oleh Kelp DAO. Token rsETH ini mewakili Ether yang sudah di-restake atau diperdagangkan kembali.
Hacker menargetkan jembatan yang dibangun menggunakan LayerZero, sistem yang memungkinkan berbagai blockchain saling terhubung. Menurut pernyataan Kelp DAO dalam unggahan di X, mereka mengidentifikasi aktivitas lintas-blockchain yang mencurigakan yang melibatkan rsETH. Mereka telah menangguhkan kontrak rsETH di seluruh mainnet (jaringan utama) dan beberapa L2 sementara melakukan penyelidikan.
Kelp DAO adalah protokol restaking yang memungkinkan pengguna untuk menyetor token staking populer seperti stETH atau cbETH dan menerima rsETH sebagai imbalannya. Token ini kemudian dapat digunakan di berbagai aplikasi kripto lainnya sambil tetap mendapatkan imbalan. Fleksibilitas ini membuat rsETH menyebar luas di berbagai platform pinjaman, perdagangan, dan likuiditas terdesentralisasi.
Menurut perusahaan keamanan Cyvers, peristiwa ini bukan sekadar eksploitasi protokol, tetapi langsung menjadi peristiwa penularan lintas protokol. Mereka memperkirakan bahwa setidaknya sembilan platform lain terpengaruh. Secara sederhana, protokol DeFi sering kali bertumpuk satu sama lain. Aset seperti rsETH digunakan kembali di berbagai layanan, misalnya sebagai jaminan untuk pinjaman atau sebagai likuiditas dalam kumpulan perdagangan. Ketika satu bagian gagal, hal itu dapat merusak semua tempat di mana aset tersebut digunakan.
“Insiden seperti inilah yang menyoroti risiko sistem yang saling terhubung di DeFi,” kata CEO Cyvers, Deddy Lavid. “Tantangannya bukan lagi hanya mencegah eksploitasi di tingkat kontrak, tetapi memahami seberapa cepat eksploitasi tersebut dapat menyebar ke seluruh protokol terintegrasi.”
Aave, protokol pinjaman DeFi terbesar dengan aset terkunci lebih dari US$ 20 miliar, membekukan pasar yang terkait dengan rsETH untuk membatasi kerugian. “Pembekuan pasar rsETH mencegah deposit baru dan pinjaman dengan jaminan rsETH sementara situasi sedang dievaluasi,” kata Aave. Tokennya turun 20% selama jam perdagangan Asia pada Minggu (19/4), menurut Coingecko.
Kepala Teknologi Cyvers, Meir Dolev, mengatakan situasinya bisa lebih buruk. “Protokol tersebut hanya berjarak tiga menit dari kerugian tambahan US$ 100 juta,” katanya, dengan daftar hitam cepat yang memblokir upaya kedua oleh penyerang.
Peretasan ini melampaui serangan siber sebelumnya terhadap proyek Drift yang berbasis di Solana sebagai eksploitasi DeFi terbesar tahun ini, dan terjadi pada saat yang sensitif bagi sektor ini.
