#KelpDAOBridgeHacked

Eksploit Jembatan KelpDAO: Analisis Teknis & Dampak Industri

Pada 18 April 2026, jembatan lintas rantai rsETH KelpDAO mengalami eksploit terbesar di DeFi tahun 2026, dengan penyerang menguras sekitar 116.500 rsETH yang bernilai sekitar $292 juta. Insiden ini mewakili sekitar 18% dari total pasokan rsETH yang beredar dan telah memicu efek berantai di seluruh ekosistem DeFi.

Analisis Vektor Serangan

Eksploit dilakukan melalui serangan multi-tahap yang canggih menargetkan infrastruktur LayerZero. Penyerang pertama kali mengompromikan dua node RPC independen yang dioperasikan oleh LayerZero Labs, mengganti binary op-geth yang sah dengan versi berbahaya. Node yang terinfeksi ini dikonfigurasi secara khusus untuk menipu Jaringan Verifikasi Terdesentralisasi LayerZero (DVN) sambil tetap memberikan respons yang jujur ke sistem pemantauan lainnya, sehingga berhasil menghindari deteksi.

Urutan serangan melibatkan serangan DDoS terkoordinasi terhadap node RPC ketiga yang bersih, memaksa DVN untuk beralih ke infrastruktur yang terkompromi. Konfigurasi jembatan KelpDAO menggunakan pengaturan DVN 1-dari-1, artinya hanya DVN dari LayerZero Labs yang diperlukan untuk memvalidasi pesan lintas rantai. Node yang terinfeksi berhasil mengonfirmasi transaksi pembakaran palsu di Unichain, yang kemudian dipropagasi oleh sistem relay EndpointV2 ke OFT Adapter KelpDAO, memicu pelepasan cadangan utama secara tidak sah.

Setelah eksploitasi, penyerang secara sistematis mencuci uang rsETH yang dicuri melalui beberapa dompet, menyetor dana sebagai jaminan di pasar Aave V3 di Ethereum dan Arbitrum. Penyerang mengamankan sekitar 75.700 WETH di Ethereum dan 30.800 WETH di Arbitrum, mencapai rasio pinjaman terhadap nilai (LTV) mendekati 99% sebelum protokol membekukan pinjaman lebih lanjut.

Profil Atribusi & Aktor Ancaman

Peneliti keamanan dan perusahaan analitik blockchain telah mengaitkan serangan ini dengan Lazarus Group dari Korea Utara, khususnya kluster TraderTraitor. Karakteristik operasionalnya sesuai dengan metodologi Lazarus yang terdokumentasi: taktik intrusi sabar, manipulasi infrastruktur terpercaya, dan mekanisme penekanan deteksi yang canggih. Malware yang digunakan secara otomatis menghancurkan dirinya setelah eksploitasi, secara sistematis menghapus bukti forensik dari sistem yang terkompromi.

Respons & Kontrol Protokol

Aave merespons dalam beberapa jam dengan membekukan pasar rsETH di seluruh deployment V3 dan V4, termasuk integrasi SparkLend. Saat ini, protokol menghadapi sekitar $177 juta utang buruk, yang sebagian besar terkonsentrasi di Arbitrum. Total Nilai Terkunci (TVL) di seluruh ekosistem Aave turun dari $26 miliar menjadi $18 miliar, mewakili aliran keluar sebesar $8-14 miliar saat penyedia likuiditas menarik modal.

Penularan meluas ke luar Aave, dengan lebih dari 15 protokol menerapkan jeda darurat pada jembatan. Pool pinjaman WETH mengalami tingkat penggunaan 100%, menciptakan risiko likuidasi sekunder untuk posisi leverage. KelpDAO telah memasukkan alamat penyerang ke daftar hitam dan mengklaim telah mencegah upaya serangan lanjutan sebesar $95 juta.

Analisis Penyebab Akar yang Diperdebatkan

Terdapat sengketa besar antara KelpDAO dan LayerZero mengenai tanggung jawab utama. LayerZero berpendapat bahwa konfigurasi DVN 1-dari-1 milik KelpDAO menyimpang dari praktik keamanan yang direkomendasikan, menekankan bahwa protokol itu sendiri tidak memiliki kerentanan dan insiden ini terbatas pada infrastruktur rsETH. LayerZero kemudian memperbaiki sistem DVN dan RPC yang terdampak.

KelpDAO membantah bahwa dokumentasi default dan konfigurasi quickstart LayerZero merekomendasikan pengaturan 1-dari-1, berargumen bahwa penyedia infrastruktur bertanggung jawab atas keamanan node RPC. Kedua pihak sepakat bahwa tidak ada bug kontrak pintar yang dieksploitasi; akar penyebabnya berpusat pada asumsi kepercayaan dalam konfigurasi titik kegagalan tunggal.

Implikasi Keamanan DeFi

Insiden ini mengungkap kerentanan kritis dalam arsitektur jembatan lintas rantai, terutama terkait keamanan infrastruktur RPC. Node RPC telah muncul sebagai titik lemah sistemik, dengan sebagian besar protokol bergantung pada sejumlah kecil penyedia tanpa diversifikasi failover yang memadai. Eksploitasi ini menunjukkan bahwa bahkan sistem verifikasi multi-tanda tangan yang canggih dapat dikompromikan jika sumber data dasarnya terkontaminasi.

Analis industri merekomendasikan penerapan segera konfigurasi multi-DVN, jaringan penyedia RPC yang beragam, dan sistem audit konfigurasi secara real-time. Arsitektur keamanan modular LayerZero membatasi radius ledakan hanya pada rsETH secara spesifik, tanpa mempengaruhi kontrak OFT atau OApp lainnya, menunjukkan bahwa kerangka pesan lintas rantai dapat mempertahankan ketahanan bahkan selama serangan infrastruktur yang ditargetkan.

Status Saat Ini & Upaya Pemulihan

Kepemimpinan Aave saat ini sedang membahas mekanisme sosialisasi utang untuk mengatasi situasi utang buruk. KelpDAO, LayerZero, dan Aave telah membentuk saluran koordinasi untuk operasi pemulihan. Kolektif keamanan blockchain Seal-911 secara aktif melacak pergerakan dana, dengan sebagian aset yang dicuri mengalir melalui Tornado Cash dan protokol obfuscation lainnya. Saluran negosiasi whitehat tetap terbuka, meskipun belum ada pemulihan yang dikonfirmasi saat penulisan.

Eksploitasi ini menetapkan rekor baru untuk peretasan DeFi tahun 2026, melampaui insiden Drift Protocol $285 juta dari 1 April. Insiden ini memperkuat kekhawatiran yang sedang berlangsung tentang keamanan jembatan sebagai vektor serangan utama di DeFi, dengan infrastruktur lintas rantai tetap menjadi frontier keamanan yang paling diperebutkan dalam ekosistem.

#KelpDAO #DeFiSecurity #BridgeExploit #CryptoNews