Cadangan Wrapped Ether (WETH) milik Aave V3 saat ini menanggung utang buruk setelah penyerang mengeksploitasi token liquid restaking rsETH milik KelpDAO dan menggunakannya sebagai jaminan untuk meminjam di protokol peminjaman tersebut.
Pengembang Solidity dan auditor 0xQuit menyoroti situasi ini di X, memperingatkan para deposan bahwa pool WETH kini terdampak serius dan penarikan sebagian dana mungkin hanya bisa dilakukan setelah Umbrella backstop Aave menyelesaikan defisit tersebut.
Bagaimana rsETH yang Terkuras Menyebabkan Utang Buruk di Aave
Eksploitasi ini dimulai ketika penyerang mendanai wallet lewat Tornado Cash. Sekitar 116.500 rsETH terkuras dari KelpDAO dengan total lebih dari US$290 juta.
Penyerang kemudian memasukkan rsETH hasil curian itu sebagai jaminan di Aave V3 dan meminjam WETH dalam jumlah besar melawannya.
Karena rsETH menjadi tidak memiliki dukungan setelah dikuras, posisi yang dihasilkan jadi tidak bisa dilikuidasi. Hal ini membuat Aave memegang kewajiban WETH yang tidak dapat diambil kembali lewat proses likuidasi normal.
“Wish I had better news but looks like WETH on aave is fucked. Withdraw if you can but likely too late,” pungkas 0xQuit, pengembang Solidity dan auditor.
Pasar rsETH di Aave V3 dan Aave V4 sudah dibekukan, dan pihak Aave menegaskan bahwa kontrak tidak dieksploitasi, karena insiden ini hanya melibatkan rsETH saja.
“Pembekuan pasar rsETH mencegah setoran dan peminjaman baru dengan jaminan rsETH selama situasi ini dievaluasi. Kami sedang meninjau informasi terkait peminjaman rsETH di Aave yang terjadi setelah eksploitasi… jika protokol mengalami utang buruk akibat insiden ini, aset Umbrella dapat digunakan untuk menutupi defisit,” papar Aave .
Apa Arti Umbrella bagi Depositor WETH
Sistem Umbrella milik Aave, yang menggantikan Safety Module lama pada akhir 2025, memang dirancang untuk skenario seperti ini.
Pengguna yang melakukan staking aWETH di vault Umbrella akan terkena pemotongan otomatis untuk menutupi defisit tersebut.
Setelah siklus pemotongan selesai, pemasok WETH yang tersisa seharusnya bisa kembali menarik sebagian dana mereka.
namun, pemulihan penuh tidak dijamin, dan para deposan mungkin harus menerima pengurangan pada posisi mereka.
Insiden ini menjadi ujian besar pertama sistem penutupan utang buruk otomatis milik Umbrella di dunia nyata. Selain itu, kejadian ini kembali memunculkan pertanyaan tentang risiko menjadikan liquid restaking token sebagai jaminan pada protokol peminjaman.
Sementara itu, tim Upshift yang menyediakan vault non-custodial untuk pengelolaan aset tokenisasi telah memastikan bahwa mereka tidak memiliki paparan terhadap rsETH.
“Kami sudah berkomunikasi dengan KelpDAO terkait potensi eksploitasi rsETH. Sebagai langkah pencegahan, tim Kelp memutuskan untuk sementara waktu menghentikan setoran dan penarikan ke vault High Growth ETH dan Kelp Gain sambil melakukan investigasi. Vault Upshift USDC, Core USDC, dan EarnAUSD sama sekali tidak terpapar rsETH. Kami akan memberikan update setelah mendapat info dari tim Kelp,” ucap Upshift.
