#KelpDAOBridgeHacked KelpDAO rsETH Bridge Eksploit: Peretasan DeFi Terbesar Tahun 2026

Pada 18 April 2026, KelpDAO, sebuah protokol liquid restaking terkemuka dengan lebih dari $1,3 miliar dalam total nilai terkunci (TVL) sebelum insiden, mengalami eksploit besar yang menargetkan infrastruktur jembatan lintas rantai-nya. Serangan tersebut menyebabkan pencurian sekitar 116.500 token rsETH, bernilai sekitar $292-294 juta saat pelanggaran terjadi, menjadikannya eksploitasi DeFi terbesar tahun 2026 hingga saat ini.

Vektor Serangan

Eksploitasi menargetkan jembatan rsETH KelpDAO yang didukung oleh protokol pesan lintas rantai LayerZero. Penyerang mengidentifikasi dan mengeksploitasi kerentanan kritis dalam fungsi lzReceive EndpointV2 LayerZero. Metodologi yang digunakan melibatkan pendaftaran peer testnet menggunakan Unichain EID 30320 dan memanfaatkan konfigurasi persetujuan Jaringan Verifikasi Desentralisasi (DVN) yang 1-dari-1. Ini memungkinkan penyerang untuk membuat dan mengirim pesan lintas rantai palsu yang melewati protokol validasi standar, memicu pelepasan rsETH tanpa backing aset yang sah dari vault.

RsETH yang dicuri mewakili sekitar 18% dari total pasokan token yang beredar, menyebabkan kekhawatiran sistemik langsung di seluruh ekosistem DeFi.

Penularan Antar-Protokol dan Krisis Utang Buruk

Alih-alih menyimpan aset yang dicuri, penyerang dengan cepat menggunakan rsETH yang tidak didukung sebagai jaminan di berbagai protokol pinjaman, menciptakan skenario utang buruk yang berantai:

- Aave V3 (Ethereum): -52.834 WETH dipinjamkan
- Aave V3 (Arbitrum): -29.782 WETH plus 821 wstETH dipinjamkan
- Compound V3 dan Euler: Pinjaman tambahan sebesar $23-59 juta

Total utang buruk di seluruh protokol yang terdampak melebihi $200 juta, karena jaminan rsETH menjadi tidak berharga setelah protokol dihentikan. Insiden ini tidak hanya merupakan eksploitasi jembatan, tetapi juga peristiwa penularan lintas protokol yang menguji ketahanan arsitektur terhubung DeFi.

Dampak Pasar Segera

Eksploitasi memicu reaksi pasar yang signifikan dan respons darurat tingkat protokol:

- TVL Aave turun lebih dari $7 miliar karena penarikan ETH massal, dengan tingkat utilisasi mencapai 100% di pasar yang terdampak
- Penurunan token asli: $AAVE turun sekitar 20%, sementara $ZRO (LayerZero) turun sekitar 30%
- Pembekuan pasar darurat diterapkan di Aave V3, V4, SparkLend, Fluid, dan Upshift untuk jaminan rsETH
- Lido Earn menghentikan deposit earnETH karena kekhawatiran eksposur rsETH
- Beberapa proyek yang menggunakan jembatan LayerZero memulai jeda pencegahan

Risiko sekunder muncul termasuk kemungkinan kegagalan likuidasi ETH, komplikasi insentif pinjaman USDT, dan eksposur utang buruk yang terkonsentrasi di penerapan Aave Arbitrum, yang mungkin tidak memiliki perlindungan Umbrella lengkap.

Tanggapan Darurat dan Status Saat Ini

Tim keamanan KelpDAO merespons dalam waktu sekitar satu jam setelah deteksi, menerapkan jeda seluruh protokol pada pukul 18:21 UTC tanggal 18 April. Respon cepat ini berhasil memblokir dua upaya serangan berikutnya. Tim telah mengeluarkan pernyataan resmi yang menegaskan keterbukaan mereka terhadap negosiasi white-hat dan sedang melakukan analisis akar penyebab secara menyeluruh bekerja sama dengan LayerZero, Unichain, dan auditor pihak ketiga.

Kepemimpinan Aave telah memulai diskusi mengenai penempatan dana dan kemungkinan pinjaman untuk menutupi kekurangan yang teridentifikasi, termasuk usulan kenaikan tingkat ETH slope2 untuk mengelola tekanan protokol. Menurut analisis Chaos Labs, sekitar $177 juta utang buruk telah diselesaikan, meskipun eksposur Arbitrum masih belum terselesaikan.

Penyelidik blockchain termasuk ZachXBT melacak dana yang dicuri ke Tornado Cash, tanpa laporan pemulihan yang berhasil saat ini. Analis memproyeksikan potensi potongan 15-20% bagi pemegang rsETH yang dijembatani, dengan KelpDAO mempertimbangkan mekanisme sosialisasi kerugian atau prioritas pemegang mainnet.

Implikasi Industri

Insiden ini menandai titik balik penting untuk keamanan jembatan lintas rantai dan komposabilitas token restaking cair (LRT). Eksploitasi ini menyoroti kerentanan mendasar dalam parameter keamanan jembatan yang dapat dikonfigurasi, terutama risiko terkait konfigurasi DVN yang disederhanakan. Peristiwa ini memperkuat pengawasan terhadap standar keamanan arsitektur jembatan dan risiko sistemik yang ditimbulkan oleh protokol DeFi yang sangat terhubung.

Pelanggaraan KelpDAO melampaui rekor sebelumnya tahun 2026 yang dipegang oleh eksploitasi Drift Protocol sebesar $280-285 juta dari 1 April, menegaskan tren mengkhawatirkan dari serangan yang semakin canggih menargetkan infrastruktur lintas rantai yang kompleks. Dengan kerugian kripto lebih dari $1,2 miliar tercatat di April 2026 melalui berbagai insiden termasuk serangan peretasan domain CoW Swap, industri menghadapi tekanan meningkat untuk memperkuat infrastruktur keamanan dan menerapkan kerangka manajemen risiko lintas protokol yang lebih kokoh.

Pengguna dan peserta pasar yang terdampak disarankan memantau saluran resmi dari KelpDAO dan Aave untuk pembaruan terkait upaya pemulihan dana, kerangka kompensasi, dan jadwal pembukaan kembali protokol.

#KelpDAO #DeFiSecurity #CryptoHack #BridgeExploit