Cerita ini telah diperbarui untuk menyebutkan “Sebuah eksploitasi rsETH senilai US$290 juta mungkin telah menyebabkan Aave V3 mengalami bad debt di cadangan WETH-nya.” Ini adalah cerita yang sedang berkembang dan akan diperbarui ketika kami memiliki informasi lebih lanjut.
Cadangan Wrapped Ether (WETH) milik Aave V3 kini memikul bad debt setelah penyerang mengeksploitasi token liquid restaking rsETH milik KelpDAO dan menggunakan token itu sebagai jaminan untuk meminjam di protokol lending tersebut.
Seorang pengembang Solidity dan auditor bernama 0xQuit mengingatkan situasi ini di X, memperingatkan para depositor bahwa pool WETH kini secara efektif bermasalah dan penarikan sebagian dana mungkin baru bisa dilakukan setelah Umbrella milik Aave menutup defisitnya.
Bagaimana rsETH yang Terkuras Menciptakan Bad Debt di Aave
Eksploitasi ini dimulai ketika penyerang mendanai wallet melalui Tornado Cash. Sekitar 116.500 rsETH terkuras dari KelpDAO, dengan total nilai lebih dari US$290 juta.
Penyerang tersebut kemudian menyuplai rsETH curian itu sebagai jaminan di Aave V3 dan meminjam WETH dalam jumlah besar.
Karena rsETH menjadi tidak didukung lagi setelah terkuras, posisi yang dihasilkan sebetulnya tidak dapat dilikuidasi. Hal ini menyebabkan Aave memegang kewajiban WETH yang tidak bisa dipulihkan lewat likuidasi normal.
“Semoga saya punya kabar lebih baik tapi nampaknya WETH di aave kacau. Tarik dana kalau bisa, tapi sepertinya sudah terlambat,” peringat pengembang Solidity dan auditor, 0xQuit.
Pihak Aave telah membekukan pasar rsETH di Aave V3 dan Aave V4, serta menegaskan bahwa kontrak mereka tidak dieksploitasi karena kejadian ini hanya terkait rsETH saja.
“Membekukan pasar rsETH mencegah deposit baru dan peminjaman dengan jaminan rsETH selama situasi sedang dievaluasi. Kami sedang meninjau informasi terkait peminjaman rsETH di Aave yang terjadi setelah eksploitasi… jika protokol menanggung bad debt akibat insiden ini, aset Umbrella dapat digunakan untuk menutupi defisit,” papar Aave.
Apa Arti Umbrella Bagi Depositor WETH
Sistem Umbrella milik Aave, yang menggantikan Safety Module lama pada akhir 2025, memang dirancang untuk skenario seperti ini.
Para pengguna yang melakukan staking aWETH di Umbrella vault akan otomatis kena pemotongan dana guna menutup kekurangan itu.
Setelah siklus pemotongan selesai, sisa penyedia WETH seharusnya bisa kembali melakukan penarikan sebagian dana mereka.
Namun, pemulihan penuh tidak dijamin, dan depositor bisa saja mengalami pengurangan pada posisi mereka.
Insiden ini menjadi ujian utama pertama untuk sistem perlindungan automated bad debt milik Umbrella. Di saat yang sama, kejadian ini memunculkan pertanyaan baru tentang risiko melepas token liquid restaking sebagai jaminan di protokol lending.
Di sisi lain, tim Upshift yang menawarkan vault non-custodial untuk mengelola aset tokenisasi, memastikan kepada penggunanya bahwa mereka tidak ada eksposur ke rsETH.
“Kami sudah berkomunikasi dengan KelpDAO soal potensi eksploitasi rsETH. Sebagai bentuk kehati-hatian, tim Kelp memutuskan sementara menutup sementara deposit dan penarikan ke vault High Growth ETH dan Kelp Gain saat investigasi berlangsung. Vault Upshift USDC, Core USDC, dan EarnAUSD sama sekali tidak terekspos ke rsETH. Kami akan memberikan update saat menerima informasi terbaru dari tim Kelp,” tulis Upshift.
