Eksploit $292M Kelp memicu debat risiko DeFi ala 2008

Eksploit senilai $292 juta yang dialami Kelp DAO telah memunculkan pertanyaan baru tentang risiko di pasar liquid restaking dan pinjaman DeFi. 

Serangan ini dilaporkan memengaruhi jembatan rsETH protokol dan melibatkan 116.500 rsETH, setara dengan sekitar 18% dari pasokan yang beredar.

Insiden ini tidak hanya terbatas pada Kelp DAO. Aave mengalami penarikan besar-besaran, sementara SparkLend dan Fluid menghentikan pasar rsETH. Lido juga menghentikan earnETH yang memiliki eksposur terhadap rsETH, meskipun produk inti stETH-nya tidak terpengaruh.

Sebuah postingan dari akun yang berfokus pada DeFi, dikenal sebagai @whatexchange di X, membandingkan kejadian ini dengan krisis keuangan 2008. Akun tersebut menulis, "Menumpuk lapisan aset tidak menghilangkan risiko. Ia mengompres dan menyembunyikannya."

Produk imbal hasil berlapis menghadapi pengawasan ketat

Postingan tersebut berargumen bahwa rsETH melewati beberapa lapisan sebelum eksploit terjadi. Pengguna pertama-tama melakukan staking ETH melalui Lido dan menerima stETH. stETH tersebut kemudian dapat masuk ke Kelp DAO dan EigenLayer, di mana rsETH dicetak.

Token rsETH kemudian digunakan sebagai jaminan di platform pinjaman seperti Aave, SparkLend, dan Fluid. Token ini juga dijembatani melalui LayerZero ke rantai lain, menciptakan versi terbungkus yang bergantung pada aset dasar yang sama.

Analisis ini membandingkan struktur tersebut dengan produk hipotek sebelum krisis 2008. Disebutkan bahwa kedua sistem mengemas ulang satu aset dasar melalui beberapa lapisan keuangan, sementara setiap lapisan bergantung pada lapisan sebelumnya yang berjalan sebagaimana mestinya.

Respons pasar mengungkap eksposur tersembunyi

Setelah eksploit Kelp DAO, beberapa platform DeFi bergerak untuk mengurangi risiko. Aave membekukan pasar rsETH selama beberapa jam, sementara SparkLend dan Fluid menghentikan pasar serupa. Ethena juga menghentikan jembatan LayerZero OFT sebagai tindakan pencegahan, meskipun tidak memiliki eksposur langsung terhadap rsETH.

Menurut postingan tersebut, lebih dari $6,2 miliar keluar dari Aave dalam waktu kurang dari 36 jam. Akun tersebut menyatakan bahwa masalah utama bukan hanya ukuran eksploit, tetapi kesulitan dalam memetakan eksposur tidak langsung di seluruh protokol.

Postingan itu menyatakan, "Tidak ada peserta, termasuk protokol itu sendiri, yang dapat sepenuhnya memetakan jaringan eksposur mereka." Ditambahkan bahwa ketika pengguna tidak dapat memverifikasi eksposur secara real time, mereka sering bereaksi dengan menarik dana.

Perdebatan risiko DeFi bergeser ke desain sistem

Postingan tersebut juga berfokus pada keamanan jembatan. Disebutkan bahwa Kelp menggunakan konfigurasi verifier 1-of-1, artinya satu node memverifikasi pesan lintas rantai sebelum dana berpindah. Postingan ini berargumen bahwa desain tersebut menciptakan titik kegagalan tunggal dalam produk yang dipasarkan sebagai terdesentralisasi.

Analisis ini juga mempertanyakan yield stacking. Disebutkan bahwa setiap lapisan menambah risiko baru, termasuk validator slashing, risiko restaking, bug jembatan, kegagalan kontrak, dan likuidasi pinjaman.

Postingan tersebut mengatakan bahwa pengguna tidak boleh menilai produk DeFi hanya berdasarkan APY. Berargumen bahwa imbal hasil yang lebih tinggi sering mencerminkan risiko tersembunyi di beberapa sistem yang saling terhubung, bukan sekadar pendapatan pasif sederhana.

Eksploit Kelp DAO kini telah menjadi bagian dari perdebatan yang lebih luas tentang keamanan, leverage, dan transparansi DeFi. Insiden ini menunjukkan bagaimana satu kegagalan dapat memengaruhi pengguna di berbagai platform, termasuk pengguna yang tidak berinteraksi langsung dengan Kelp DAO.