Saya pengguna DeFi yang aktif pakai Aave V3, termasuk meminjamkan stablecoin dan ETH. Ini adalah pendapat saya tentang bagaimana saya menarik dana, kenapa saya putuskan tarik semua, dan apa yang saya amati sekarang. Ini bukan saran keuangan sama sekali. Lakukan riset kamu sendiri, bicara dengan professional, dan jangan pernah bertindak hanya berdasarkan satu artikel, termasuk artikel ini.
Saya habiskan sebagian besar pagi hari Minggu, 19 April, melakukan dua hal: me-refresh DefiLlama dan menunggu transaksi dikonfirmasi.
Saat saya ambil kopi, Aave sudah kehilangan sekitar $6.6 miliar deposit dalam waktu kurang dari 24 jam, pool WETH sudah 100% terpakai, dan para depositor diam-diam diberi tahu bahwa penarikan mungkin tidak berjalan seperti yang mereka harapkan. Saya adalah salah satu depositor itu. Sekarang tidak lagi.
Ini adalah cerita bagaimana saya sampai di situ, apa yang saya lihat, dan alasan dibalik menarik semua dana daripada menunggu.
Related: Major DeFi hack becomes the largest of 2026 yet
Judulnya menyesatkan. Aave tidak di-hack. Kontrak pintarnya berjalan persis seperti yang ditulis. Serangannya terjadi di tempat lain dan kerusakannya mengalir ke Aave seperti banjir bandang.
Pada 18 April, seorang penyerang mengeksploitasi kerentanan di bridge cross-chain Kelp DAO, yang menggunakan infrastruktur pesan LayerZero. Dengan memalsukan pesan ke fungsi lzReceive bridge, penyerang menipu kontrak untuk melepaskan sekitar 116,500 rsETH senilai $292 juta ke dompet yang mereka kendalikan, menurut CoinDesk. Tim Kelp menghentikan kontrak dalam waktu satu jam, tetapi rsETHnya sudah hilang.
Dua usaha lanjutan untuk mengambil 80,000 rsETH lagi dihalangi oleh pembekuan, menyelamatkan ekosistem dari kerugian tambahan sekitar $100 juta.
Untuk pembaca yang baru dengan bagian crypto ini, rsETH adalah token liquid restaking. Kamu kasih ETH ke Kelp, Kelp arahkan melalui EigenLayer untuk dapat hasil extra, dan kamu dapat rsETH sebagai tanda terima. Tanda terima itu seharusnya bisa ditukarkan kembali, pada akhirnya, dengan ETH yang mendukungnya. Yang penting, rsETH di setiap Layer 2 didukung oleh cadangan di kontrak bridge mainnet Kelp. Saat bridge itu dikosongkan, tanda terima di lebih dari 20 rantai tertinggal menunjuk ke brankas yang kosong.
Sekarang bagian yang penting untuk depositor Aave. Penyerang mengambil rsETH yang dicuri dan menggunakannya sebagai jaminan di Aave V3 untuk meminjam WETH sebanyak mungkin yang diizinkan protokol. Sekitar $196 juta WETH keluar dengan jaminan rsETH yang, saat itu, sudah tidak didukung apa-apa. Eksposur lebih kecil muncul di Compound dan Euler. Penyerang menggabungkan dana curian menjadi sekitar 74,000 ETH dan melanjutkan.
Bayangkan seperti ini. Sebuah gudang di New York yang menyimpan emas batangan. Sebuah bank di London menerbitkan sertifikat kertas yang bertuliskan “dapat ditukar dengan satu batang emas di gudang New York.” Sertifikat itu beredar bebas. Orang memperdagangkannya, meminjamkannya, mempostingnya sebagai jaminan. Selama emasnya ada di gudang, sertifikat itu sama berharganya dengan emas. Sekarang bayangkan seorang pencuri masuk ke gudang New York dan keluar membawa semua batangan emas. Sertifikat di London masih ada. Masih tertulis “dapat ditukar dengan satu batang emas.” Tapi tidak ada emas yang tersisa untuk menukarnya. Kertas itu tiba-tiba tidak berharga, meskipun tidak ada yang berubah dari kertas itu sendiri. Itulah yang terjadi pada rsETH di Layer 2 saat bridge mainnet Kelp dikosongkan.
Aave yang akhirnya menanggung beban. Jaminannya dibekukan dan pada dasarnya tidak berharga. Pinjamannya tidak bisa dilikuidasi dengan cara yang berarti karena tidak ada yang mau membeli rsETH tanpa dukungan dengan harga berapapun. Kerugian di Aave saja diperkirakan antara $177 juta sampai $200 juta, menurut laporan CoinDesk.
Ada detail yang kurang dapat perhatian di gelombang pemberitaan pertama, dan ini mengubah cara kamu membaca seluruh kejadian ini.
Pada Januari 2026, governance Aave menyetujui proposal 434, yang menambahkan WETH ke mode LST E-Mode rsETH dan menaikkan rasio pinjaman-terhadap-nilai maksimum untuk rsETH di mode itu dari 92.5% ke 93%. Dengan kata sederhana, pengguna bisa meminjam $93 WETH di Aave menggunakan $100 rsETH sebagai jaminan. Itu memampatkan penyangga keamanan dari 28% menjadi 7%.
Ketika rsETH kehilangan dukungannya pada hari Sabtu dan harganya mulai jatuh, sistem tetap memperlakukan rsETH yang sekarang tidak berharga itu sebagai jaminan yang valid. Penyangga yang tipis membuat posisi tidak bisa dilikuidasi sebelum kerugian menjadi nyata. Eksploitnya berasal dari luar. Kerusakannya diperbesar oleh parameter yang ditetapkan governance Aave sendiri.
Saya tidak bilang Aave menyebabkan ini. Saya bilang besarnya kerugian adalah hasil dari keputusan yang dibuat berbulan-bulan sebelumnya, dan itulah bagian yang seharusnya paling membuat depositor tidak nyaman.
Related: Exclusive: Aave founder sees U.S. push to lead in crypto, DeFi policy
Saya sudah menjadi pemberi pinjaman di Aave V3 untuk beberapa lama. Setelahnya sama seperti yang kebanyakan pengguna DeFi kenal. Saya hubungkan dompet saya, pilih deployment Aave V3 di mainnet Ethereum, menyetor USDT dan ETH ke pool masing-masing, dan menerima tanda terima aUSDT dan aWETH sebagai balasan. Tanda terima itu mendapat bunga secara real time. Kamu lihat saldo bertambah sedikit demi sedikit. Itu agak membuat ketagihan.
Hasil dari stablecoin ada di kisaran angka tunggal pertengahan, hasil ETH sedikit lebih rendah. Tidak ada yang aneh. Saya tidak mengejar APY 30% di fork baru. Aave adalah protokol peminjaman yang paling teruji di DeFi, dengan sekitar $25 miliar deposit di banyak rantai sebelum akhir pekan ini. Argumennya, kalau kamu tidak bisa meminjamkan di Aave, kamu tidak bisa meminjamkan di mana pun di on-chain.
Ketika kamu menyetor USDT atau ETH di Aave, kamu tidak menaruh uang kamu di brankas. Kamu adalah kreditur tidak terjamin dari pool bersama. Pool itu meminjamkan ke banyak peminjam berbeda dengan banyak bentuk jaminan berbeda. Jika salah satu jenis jaminan itu gagal cukup parah, kerugiannya tidak tinggal rapi di dalam pasar itu saja. Itu merembes ke pool yang mendanai pinjaman buruk itu.
Dalam kasus ini, pinjaman buruknya adalah WETH yang dipinjam dengan jaminan rsETH. Pool yang mendanainya adalah pool WETH. Pool itulah tempat ETH saya berada.
Ada satu lapisan asuransi, dan ini lebih baru dari yang disadari kebanyakan depositor.
Sistem Umbrella Aave menggantikan Safety Module lama di akhir 2025, seperti yang ditandai Yahoo Finance dalam pemberitaannya tentang insiden ini. Di bawah Umbrella, pengguna yang stake aWETH langsung ke vault Umbrella menghadapi pemotongan otomatis untuk menutupi defisit, tanpa perlu voting governance. Setelah siklus pemotongan selesai, penyuplai WETH yang tersisa seharusnya mendapatkan akses penarikan parsial kembali, meskipun pemulihan penuh tidak dijamin dan depositor mungkin menghadapi pemotongan.
Ini adalah uji stres dunia nyata besar pertama untuk Umbrella. Tidak ada seorang pun, termasuk orang yang membuatnya, yang tahu persis bagaimana dua minggu ke depan berjalan.
Dalam praktiknya, bahasa yang keluar dari Aave bergeser dengan cara yang tidak saya sukai. Protokol awalnya bilang cadangan Umbrella akan menutupi defisit. Menjelang sore Sabtu, kata-katanya melunak menjadi “menjelajahi jalan untuk mengimbangi defisit.”
Hal lain yang mendorong saya untuk bertindak adalah melihat penggunaan pool WETH naik mendekati 100%. Ini artinya.
Aave hanya bisa memenuhi penarikan dari likuiditas yang benar-benar menganggur di pool. Ketika terlalu banyak dari pool yang dipinjamkan, penarikan berhenti bekerja. Bukan karena Aave rusak, tetapi karena matematikanya mengatakan tidak ada yang bisa diberikan kepadamu sampai peminjam membayar kembali atau depositor baru datang.
Pada Minggu pagi, pasar WETH mencapai utilisasi 100%. Laporan mencatat arus keluar $5.4 miliar dalam beberapa jam. Orang yang mencoba menarik dana di siang hari mengalami transaksi gagal dan pengisian sebagian.
Lalu datang bagian yang, bagi saya, menjawab pertanyaan. Sebagai tindakan lanjutan pencegahan, Protocol Guardian Aave membekukan WETH di Core, Prime, Arbitrum, Base, Mantle, dan Linea, mencegah pinjaman baru dengan jaminan WETH sementara tim terus memantau. Enam deployment. Pool yang saya ikuti tidak lagi berperilaku seperti pasar pinjaman normal.
Pool stablecoin, termasuk USDC dan USDT, tidak punya eksposur langsung ke rsETH tetapi melihat utilisasi melonjak di deployment tertentu karena kepanikan tidak menghormati batas kategori. Uang yang ingin keluar ingin keluar dari semuanya.
Saya tidak akan membahas jumlah spesifik karena itu bukan inti artikel ini. Tapi saya akan katakan saya menarik posisi ETH dan posisi stablecoin saya, dalam urutan itu, dan memindahkan dananya ke self-custody.
Tiga alasan.
Pertama, saya tidak tahu seperti apa penyelesaian kerugiannya nanti. Aave mungkin menyerap kerugian dengan bersih melalui cadangan Umbrella. Mungkin juga tidak. Jika staker Umbrella dipotong dan defisitnya masih belum tertutup, depositor dapat pemotongan. Saya tidak bisa memodelkan kemungkinan setiap hasil dengan tepat, dan tidak ada orang lain yang bisa dengan percaya diri mengatakan mana yang akan terjadi.
Kedua, pool WETH sudah memberi tahu saya jawaban tentang likuiditas. Jika utilisasi 100%, peminjaman WETH dibekukan di berbagai deployment, dan kepanikan masih berkembang, setiap jam saya menunggu mengurangi kesempatan saya untuk keluar sama sekali dalam jangka pendek. Saya lebih baik bayar gas sekarang daripada menunggu tiga minggu untuk resolusi Umbrella sementara dana saya diam tidak bisa bergerak.
Ketiga,