Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Akses ribuan kontrak perpetual
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Pre-IPOs
Buka akses penuh ke IPO saham global
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Promosi
AI
Gate AI
Partner AI serbaguna untuk Anda
Gate AI Bot
Gunakan Gate AI langsung di aplikasi sosial Anda
GateClaw
Gate Blue Lobster, langsung pakai
Gate for AI Agent
Infrastruktur AI, Gate MCP, Skills, dan CLI
Gate Skills Hub
10RB+ Skills
Dari kantor hingga trading, satu platform keterampilan membuat AI jadi lebih mudah digunakan
GateRouter
Pilih secara cerdas dari 30+ model AI, dengan 0% biaya tambahan
Bisnis gadai DeFi hampir runtuh karena sebuah kwitansi
Penulis: Clow, Blockchain Bahasa Sehari-hari
Pada 18 April, DeFi dilempar ke dalam air.
Kali ini bukan bursa yang diretas, juga bukan kontrak yang langsung dikuras. Penyerang mendapatkan sekumpulan bukti jaminan bernilai sekitar 290 juta dolar AS, lalu mengirimnya ke Aave, protokol pinjaman on-chain, meminjam ETH seperti WETH, wstETH yang lebih mudah dicairkan.
Sekumpulan bukti ini disebut rsETH, seperti “kwitansi ETH”: pengguna memasukkan ETH atau aset terkait ke KelpDAO, mendapatkan bukti, dan nanti bisa menukarnya kembali dengan aset dasar. Aave seperti gadai janji di blockchain, pengguna menaruh aset sebagai jaminan, lalu meminjam ETH, stablecoin, atau aset lain.
Masalahnya, gudang di balik “kwitansi” ini bermasalah.
Ini seperti seseorang membawa surat gudang yang sudah kedaluwarsa ke bank untuk pinjaman. Barang di gudang tidak cukup, tapi sistem bank belum menyadari, tetap memberi pinjaman dengan harga semula.
Yang paling memalukan, bukan bank yang rusak, proses pinjaman yang rusak. Yang benar-benar rusak adalah hubungan antara surat gudang dan gudang itu sendiri. Aave kali ini menghadapi masalah serupa.
Kalau cuma KelpDAO kehilangan token, itu adalah insiden keamanan protokol. Tapi saat jaminan yang rusak masuk ke Aave, ini berubah menjadi latihan penarikan kepercayaan sistem DeFi.
Siapa yang paling menderita? Bukan KelpDAO, tapi orang yang terkunci
Laporan insiden menunjukkan, serangan terjadi pada 18 April 2026 pukul 17:35 UTC. Penyerang menipu jalur rsETH dari Unichain kembali ke Ethereum milik KelpDAO, melepaskan 116.500 rsETH.
Di antaranya 89.600 rsETH disimpan ke Aave, meminjam 82.700 WETH dan 821 wstETH, total sekitar 193 juta dolar AS.
Aave bukan yang diretas. Kontraknya tidak rusak, sistem harga juga tidak langsung diserang. Masalahnya, penyerang menggunakan sekumpulan “kelihatan masih berharga” rsETH sebagai jaminan, lalu meminjam keluar aset nyata dari kolam Aave. WETH adalah saldo ETH yang bisa diambil dari kolam. Setelah dipinjam habis, saldo deposan tetap ada di buku, tapi WETH yang bisa diambil hilang.
Cadangan WETH di beberapa pasar sempat mencapai 100% utilisasi, saldo yang tidak terpakai hampir nol. Dampaknya bagi pengguna adalah:
Anda punya uang, tapi saat ini tidak bisa mengeluarkannya.
Ini sangat mirip dengan penghentian penarikan di bursa, hanya saja versi on-chain-nya lebih menyakitkan. Halaman tidak akan bilang “uang hilang”, mereka hanya bilang “tidak ada likuiditas saat ini”. Depositor melihat saldo, yang benar-benar hilang adalah jalur keluar.
Aave kemudian membekukan rsETH, wrsETH, dan beberapa pasar WETH. Bukan karena pengguna melakukan kesalahan, tapi karena sistem harus menutup pintu masuk terlebih dahulu.
Ini juga yang membuat banyak orang awalnya tidak paham. Aave tidak langsung diretas dan asetnya diambil paksa, tapi jaminan yang masuk tiba-tiba menjadi tidak bersih. Depositor mengira mereka hanya menaruh ETH ke kolam pinjaman, tapi di ujung lain kolam, seseorang meminjam dengan bukti yang rusak dan mengambil aset bagus.
Ini bukan lemari yang dibobol, tapi penjaganya yang tertipu
KelpDAO menggunakan LayerZero sebagai jalur lintas chain. Jembatan lintas chain seperti sistem transfer antara dua gudang: di Ethereum, sekumpulan rsETH dikunci, di chain lain muncul bukti yang sesuai; saat pengguna kembali, sistem memastikan bukti tersebut telah dihancurkan, lalu rsETH di gudang Ethereum dilepaskan.
Semakin banyak yang memverifikasi pesan ini, semakin aman. Sayangnya, KelpDAO saat itu adalah 1-of-1 DVN, hanya satu sumber verifikasi yang bertanggung jawab. Satu orang memberi stempel, satu orang memberi izin.
Node RPC seperti “jendela pemeriksaan”. Menurut LayerZero, penyerang membobol dua node RPC, lalu melakukan DDoS terhadap RPC eksternal yang tidak dibobol, memaksa jaringan verifikasi membaca status dari sumber data yang tercemar. Akibatnya, verifikator melihat pesan yang tidak ada: Seolah-olah di chain lain sudah cukup banyak rsETH dihancurkan, dan bisa dilepaskan dari Ethereum.
Kontrak di Ethereum percaya, lalu melepaskan 116.500 rsETH.
Setiap langkah di blockchain tampak seperti transaksi normal. Tanda tangan cocok, pesan cocok, proses juga cocok. Hanya saja, yang terjadi di balik layar adalah sesuatu yang tidak pernah benar-benar terjadi. Kode dieksekusi sesuai input, tapi inputnya sudah tercemar.
Ini lebih aneh daripada celah kontrak biasa. Celah kontrak minimal bisa ditunjuk satu baris kode yang salah; kali ini lebih seperti rekaman CCTV yang dipalsukan, petugas keamanan membuka pintu sesuai prosedur. Pintu terbuka secara sah, tapi orang di luar seharusnya tidak masuk.
Jadi, yang paling menakutkan dari kejadian ini bukanlah seorang pengembang yang salah menulis kode, tapi infrastruktur dasar yang dipercaya banyak protokol juga bisa berbohong. Jembatan, node, jaringan verifikasi, semuanya biasanya di belakang layar, tapi saat terjadi masalah bisa langsung mengubah nasib aset.
Mengapa Aave bisa tertarik dengan jaminan yang rusak?
Protokol pinjaman paling takut bukanlah fluktuasi harga. Fluktuasi harga masih bisa dilikuidasi. Masalahnya, jaminan tampaknya masih berharga, padahal dukungannya sudah runtuh.
rsETH awalnya adalah kwitansi ETH, lebih dari sekadar ETH biasa. Setelah masuk ke jaringan layer 2 seperti L2, ada risiko tambahan dari jembatan. Saat masuk ke Aave, yang biasanya disebut efisiensi modal, saat terjadi masalah menjadi semacam kotak risiko.
Kalau harga ETH turun, Aave bisa melakukan likuidasi sesuai aturan. Tapi masalah rsETH bukan sekadar penurunan harga, melainkan “apakah kwitansi ini masih bisa ditukar kembali dengan aset”. Jika pertanyaan ini tidak terjawab, likuidasi jadi sulit karena pasar mungkin tidak mau menampung.
Laporan insiden Aave memberi dua skenario kerugian: jika kerugian ditanggung bersama oleh semua pemegang rsETH, kerugian potensial sekitar 123,7 juta dolar AS; jika hanya diisolasi di rsETH L2, kerugian sekitar 230,1 juta dolar AS, dengan tekanan utama di Mantle dan Arbitrum.
Dua angka ini sangat berbeda, tapi keduanya menunjukkan hal yang sama: Aave tidak kalah karena logika kontrak, melainkan terlalu tinggi menilai keandalan “kwitansi ETH” ini. Penyerang juga menyadari hal ini, jadi mereka tidak buru-buru menjual rsETH, melainkan memasukkan jaminan yang rusak ke pasar pinjaman dan meminjam aset bagus.
Dulu orang suka memuji interoperabilitas: aset dari satu protokol bisa masuk ke protokol lain dengan mulus. Tapi kali ini, kita melihat sisi negatifnya. Celah di satu protokol juga bisa masuk ke protokol lain tanpa hambatan.
Ringkasan
Laporan Aave menunjukkan, hingga 20 April, Aave DAO memiliki sekitar 181 juta dolar AS aset. Proposal tata kelola pada 24 April mengungkapkan rencana penyelamatan: Aliansi penyelamatan DeFi United akan mengoordinasikan dana dari berbagai pihak untuk menutup celah jaminan rsETH.
Dalam rencana ini termasuk 40.400 rsETH yang dibekukan KelpDAO, 30.800 ETH yang dibekukan Arbitrum Security Council, serta plafon kredit tertinggi 30.000 ETH dari Mantle, dan 25.000 ETH yang harus disediakan Aave DAO.
Circle juga ikut terlibat. Sebagai penerbit stablecoin USDC, mereka mulai peduli terhadap pasar pinjaman. Ini bukan amal, tapi langkah perlindungan industri.
Ini juga menjelaskan mengapa penyelamatan datang begitu cepat. Aave bukan situs yang berdiri sendiri, melainkan tempat banyak dompet, strategi hasil, perdagangan stablecoin, dan dana market-making melewati. Jika tempat ini tersumbat, banyak protokol lain yang tampaknya tidak terkait juga akan kesulitan.
USDC agar bisa beredar di DeFi, tidak lepas dari peran pasar pinjaman utama seperti Aave. Jika kolam ini macet dalam jangka panjang, penggunaan stablecoin juga akan terganggu. Jadi, menyelamatkan Aave bukan hanya menyelamatkan satu protokol, tapi juga menjaga jalur sirkulasi dana.
Pertanyaan yang tersisa dari insiden ini bukanlah apakah Aave akan mati, melainkan berapa banyak aset “seperti ETH” yang akan terus terikat dengan jembatan, node RPC, node verifikasi, dan konfigurasi yang tidak pernah dilihat orang.
DeFi tidak memiliki bank sentral. Tapi, ia sudah punya kelompok penyelamatan darurat, voting treasury, perusahaan stablecoin, dan plafon kredit.
Inilah kenyataan sebenarnya: ia bisa tanpa pusat, tapi tidak bisa tanpa kepercayaan. Semakin banyak lapisan aset, semakin efisien, tapi tanggung jawabnya juga semakin tersembunyi.
Ini bukan keuangan yang lebih murni.
Jaminan yang rusak, paling mahal.