Pada 18 April 2026, KelpDAO mengalami pelanggaran keamanan DeFi terbesar sepanjang tahun tersebut. Pelaku memanfaatkan jembatan lintas rantai (cross-chain bridge) yang didukung LayerZero untuk mencuri sekitar 116.500 rsETH, dengan nilai sekitar $292 juta. Berbeda dengan kerentanan smart contract tradisional, insiden ini merupakan peristiwa keamanan sistemik yang diperparah oleh kegagalan model kepercayaan lintas rantai dan sifat komposabilitas protokol DeFi.
Celah teknis utama terletak pada konfigurasi arsitektur verifikasi lintas rantai LayerZero. Jembatan rsETH milik KelpDAO menggunakan solusi LayerZero OFT (Omnichain Fungible Token), yang mengandalkan DVN (Decentralized Verification Network) untuk keamanannya. Namun, KelpDAO beroperasi dengan pengaturan node validator 1-dari-1, artinya satu tanda tangan validator saja sudah cukup untuk mengonfirmasi pesan lintas rantai. Pelaku memalsukan pesan lintas rantai, memicu pelepasan otomatis aset senilai sekitar $292 juta. Eksekusinya sangat efisien: mulai dari pemanggilan fungsi awal hingga transfer dana selesai, seluruh proses hanya memakan waktu 46 menit.
Setelah pencurian, pelaku mendepositkan rsETH hasil curian sebagai agunan ke Aave V3 dan protokol peminjaman lainnya, meminjam sejumlah besar ETH dan menciptakan utang macet sekitar $196 juta pada pembukuan Aave. Total value locked (TVL) Aave anjlok dari sekitar $26,4 miliar menjadi $18,6 miliar, dan token AAVE turun sekitar 20% dalam satu hari. Selanjutnya, pelaku memindahkan sekitar 30.766 ETH ke sebuah alamat di jaringan Arbitrum One, yang secara langsung memicu intervensi dari dewan keamanan.
Apa Dasar Tindakan Dewan Keamanan?
Arbitrum Security Council adalah badan beranggotakan 12 orang yang dipilih oleh Arbitrum DAO. Anggotanya bergantian melalui pemilihan rutin, dengan masa jabatan 12 bulan dan rotasi enam orang per periode. Fungsi utama dewan ini adalah bertindak cepat dalam keadaan darurat, menggunakan dompet multisig 9-dari-12 untuk melindungi keamanan dan integritas ekosistem Arbitrum.
Dalam insiden ini, intervensi dewan didasarkan pada konfirmasi identitas pelaku, dengan bantuan aparat penegak hukum. Pengumuman resmi Arbitrum menyatakan bahwa dewan bertindak "berdasarkan informasi tentang identitas pelaku yang diberikan oleh penegak hukum." Dari sudut pandang tata kelola, tindakan ini sesuai dengan definisi "keadaan darurat katastropik" dalam dokumentasi desentralisasi progresif Arbitrum, sehingga dewan memiliki dasar hukum untuk melakukan intervensi.
Perlu dicatat bahwa kewenangan dewan tidaklah tanpa batas. Menurut piagam Arbitrum DAO, dewan hanya dapat melewati proses tata kelola standar dalam keadaan darurat, dan minimal 9 dari 12 anggota harus setuju. Dalam kasus ini, sembilan anggota memilih untuk membekukan dana, memenuhi ambang batas multisig minimum. Anggota dewan, Griff Green, menyatakan di X bahwa keputusan ini "tidak diambil dengan mudah, melainkan setelah berjam-jam perdebatan teknis, praktis, etis, dan politis yang mendalam."
Bagaimana Pembekuan On-Chain Dilakukan Secara Teknis?
Managing Partner Dragonfly, Haseeb Qureshi, memberikan penjelasan rinci mengenai mekanisme teknisnya. Transaksi pembekuan menggunakan ArbitrumUnsignedTxType (EIP-2718 tipe 0x65/101), yakni transaksi level sistem yang tidak dapat dibuat oleh externally owned account (EOA) biasa melalui tanda tangan private key. Hanya dewan keamanan, melalui ArbOS injection, yang dapat mengeksekusi transaksi semacam ini.
Artinya, operasi ini secara fundamental berbeda dari transaksi blockchain biasa. Transaksi reguler diotorisasi oleh private key pengguna, sedangkan legitimasi transaksi level sistem ini berasal dari aturan konsensus chain, bukan tanda tangan pengguna individual. Dewan, melalui persetujuan multisig 9-dari-12, mengaktifkan kemampuan modifikasi state inti ArbOS, secara langsung mengubah saldo akun pada alamat tertentu—memindahkan 30.766 ETH dari alamat pelaku ke dompet pembekuan sementara. Logika eksekusi chain menegakkan transfer ini.
Perlu dicatat, tindakan ini bukanlah "rollback chain" tradisional. Tidak ada blok yang telah dikonfirmasi yang dibalik, dan tidak ada riwayat transaksi yang diubah. Semua catatan on-chain selama serangan tetap utuh, menjaga sifat immutable blockchain. Dari perspektif mesin status, ini adalah pemulihan aset "level state": private key pelaku masih dapat menandatangani transaksi, namun aset inti pada alamat tersebut telah dipindahkan secara paksa ke dompet yang dikendalikan tata kelola sesuai aturan chain. Pendekatan teknis ini memungkinkan intervensi terarah tanpa mengorbankan integritas buku besar blockchain.
Operasi pembekuan ini sangat presisi. Arbitrum menekankan bahwa transfer tersebut "tidak memengaruhi state on-chain lain atau pengguna Arbitrum mana pun," serta tidak mengganggu aplikasi Arbitrum. Per 20 April pukul 23.26 ET, dana telah berhasil dipindahkan ke dompet pembekuan sementara, dan alamat asli pelaku tidak lagi memiliki akses terhadap aset tersebut. Setiap pergerakan dana selanjutnya hanya dapat dilakukan melalui tindakan terkoordinasi oleh badan tata kelola Arbitrum.
Bagaimana Intervensi Tata Kelola Menyeimbangkan Prinsip Desentralisasi?
Meski pembekuan ini berhasil mencegat sebagian dana curian, tindakan tersebut juga memicu perdebatan besar tentang batas-batas tata kelola jaringan terdesentralisasi. Dewan keamanan Layer-2, dengan dukungan penegak hukum, turun tangan membekukan aset pada alamat on-chain tertentu—menjadi preseden penting dalam sejarah DeFi.
Kontroversi utamanya: Apakah sifat immutable dan resistensi sensor blockchain merupakan prinsip absolut, atau dapat dikompromikan dalam kondisi tertentu? Pendukung berpendapat bahwa, ketika aset pengguna menghadapi kerugian besar, intervensi tata kelola darurat adalah alat yang diperlukan demi keamanan ekosistem. Sebagai badan yang dipilih komunitas, tindakan dewan keamanan mencerminkan kehendak kolektif dalam skenario ekstrem. Namun, kritikus menilai setiap pembekuan aset on-chain justru merongrong filosofi dasar blockchain. Di X, banyak pengguna mengkritik langkah Arbitrum, mempertanyakan seberapa terdesentralisasi jaringan ini jika dewan dapat membekukan dana secara sepihak.
Dari sisi desain sistem, kewenangan Arbitrum Security Council sudah jelas diatur. Berdasarkan dokumentasi desentralisasi progresif Arbitrum, dewan hanya dapat menggunakan kewenangan ini dalam "keadaan darurat katastropik" dan harus memenuhi ambang multisig 9-dari-12. Anggota dewan dipilih DAO dan dapat diberhentikan melalui pemungutan suara DAO atau recall internal, sehingga terdapat mekanisme checks and balances. Namun, insiden ini juga menyoroti masalah yang belum terpecahkan: tanpa pemicu otomatis on-chain, standar definisi "keadaan darurat katastropik" tetap subjektif, sehingga ruang lingkup kewenangan dewan menjadi potensi risiko tata kelola.
Risiko Sistemik Apa yang Terungkap pada Infrastruktur Lintas Rantai?
Insiden keamanan KelpDAO secara mendasar menyoroti rapuhnya struktur infrastruktur lintas rantai. Dalam beberapa tahun terakhir, peretasan jembatan lintas rantai menyumbang lebih dari $2,8 miliar dana yang dicuri—hampir setengah dari seluruh kerugian DeFi. Peristiwa ini memperkuat tren tersebut: kerentanan utama bukan pada kode smart contract, melainkan titik kegagalan tunggal pada model kepercayaan verifikasi lintas rantai.
Investigasi LayerZero mencatat bahwa pengaturan validator DVN 1-dari-1 pada KelpDAO melanggar praktik terbaik industri. LayerZero telah berulang kali merekomendasikan konfigurasi multi-validator untuk redundansi, namun saran tersebut tidak diterapkan. Pengaturan ini membuat kompromi terhadap satu validator saja sudah cukup untuk melepaskan seluruh aset jembatan. CTO Ripple, David Schwartz, merangkum isu ini di X: "Serangannya jauh lebih kompleks dari perkiraan, mengeksploitasi kelalaian konfigurasi KelpDAO dan menargetkan infrastruktur LayerZero."
Model kepercayaan infrastruktur lintas rantai pada dasarnya merupakan "kompromi" terhadap asumsi desentralisasi blockchain. Dalam ekosistem multi-chain, transfer aset antar chain memerlukan perantara untuk memvalidasi dan meneruskan pesan. Baik menggunakan multisig, DVN, atau mekanisme lain, sulit menghilangkan ketergantungan pada kelompok validator tertentu. Insiden KelpDAO menunjukkan bahwa ketika ketergantungan ini menyempit pada satu titik, seluruh jembatan menjadi kerentanan kritis.
Bagaimana Industri Akan Membenahi Kerangka Keamanan dan Tata Kelola?
Insiden ini memberikan sejumlah pelajaran penting bagi industri DeFi.
Dari sisi keamanan lintas rantai, konfigurasi single-validator harus dianggap tidak dapat diterima. LayerZero telah menonaktifkan node yang terdampak dan memulihkan operasi DVN, namun pertanyaan lebih besar adalah: berapa banyak protokol lain yang masih berjalan dengan pengaturan titik tunggal serupa? Industri membutuhkan standar audit keamanan lintas rantai dan panduan konfigurasi yang lebih ketat untuk menghilangkan risiko kepercayaan titik tunggal secara sistemik.
Dari sisi tata kelola, keseimbangan antara kewenangan darurat dewan keamanan dan tata kelola berbasis komunitas perlu disempurnakan. Saat ini, ruang lingkup tindakan dewan dalam "keadaan darurat katastropik" masih sangat bergantung pada penilaian subjektif, tanpa pemicu on-chain yang jelas dan mekanisme evaluasi pasca-kejadian. Evolusi yang mungkin adalah kerangka respon darurat multi-level, menyesuaikan tingkat otorisasi dengan tingkat keparahan insiden, serta membentuk komite independen untuk menilai legitimasi tindakan darurat secara retrospektif.
Terkait alokasi kerugian, insiden KelpDAO melibatkan total kerugian sekitar $292 juta, dengan Arbitrum Security Council berhasil membekukan sekitar $71 juta—sekitar seperempat dari total. Penanganan kerugian sisanya—termasuk utang macet Aave sekitar $196 juta, mekanisme pembagian kerugian antar protokol, dan kemungkinan klaim asuransi—masih dalam tahap negosiasi. Kasus ini dapat mendorong protokol DeFi untuk mengintegrasikan mekanisme respon darurat dan pembagian kerugian sejak tahap desain, bukan mencari solusi ad hoc setelah insiden terjadi.
Kesimpulan
Mulai dari eksploitasi jembatan lintas rantai hingga pembekuan 30.766 ETH oleh dewan keamanan, insiden KelpDAO memberikan gambaran menyeluruh tentang mekanisme respon darurat DeFi dalam menghadapi serangan berskala besar. Dilema utamanya—cacat pada model kepercayaan lintas rantai versus batas intervensi tata kelola terdesentralisasi—akan menjadi panduan reformasi industri dan peningkatan keamanan di masa depan. Keberhasilan pembekuan 30.766 ETH menjadi tonggak pemulihan aset, namun juga memunculkan lebih banyak pertanyaan: Siapa yang berhak mendefinisikan "keadaan darurat katastropik"? Bagaimana standar intervensi darurat dapat ditegakkan secara on-chain? Bagaimana asumsi kepercayaan lintas rantai dapat dioptimalkan agar aman sekaligus tetap terdesentralisasi? Jawaban atas pertanyaan-pertanyaan ini akan membentuk evolusi ekosistem DeFi di masa mendatang.
Pertanyaan yang Sering Diajukan (FAQ)
Bagaimana Arbitrum Security Council dapat membekukan dana secara presisi tanpa memengaruhi pengguna lain?
Dewan menggunakan pendekatan teknis level sistem yang menargetkan alamat spesifik. Dengan mengeksekusi transaksi ArbitrumUnsignedTxType melalui ArbOS injection, mereka langsung memindahkan 30.766 ETH dari alamat pelaku ke dompet pembekuan sementara. Operasi ini tidak mengubah blok historis mana pun atau memengaruhi saldo maupun operasi kontrak pengguna lain. Presisinya terletak pada modifikasi hanya pada state alamat yang ditargetkan.
Apa yang akan terjadi pada 30.766 ETH yang dibekukan tersebut?
Saat ini, dana tersebut disimpan di dompet relay yang hanya dapat dikendalikan oleh badan tata kelola Arbitrum. Setiap transfer selanjutnya memerlukan persetujuan melalui proses tata kelola Arbitrum dan koordinasi dengan pihak terkait. Rencana spesifik pengembalian dana belum diumumkan dan kemungkinan besar akan bergantung pada perkembangan investigasi penegak hukum serta proses hukum yang berjalan.
Bagaimana dampak pembekuan ini terhadap penanganan insiden keamanan KelpDAO secara keseluruhan?
Tindakan ini berhasil memulihkan sekitar $71 juta dana curian—hampir seperempat dari total kerugian—dan secara efektif membatasi kendali pelaku atas aset tersebut. Namun, penyelesaian penuh insiden KelpDAO—termasuk penanganan utang macet Aave sekitar $196 juta, alokasi tanggung jawab antara KelpDAO dan LayerZero, serta pengaturan kompensasi lintas protokol—masih berlangsung.
