Seorang penyerang dilaporkan mengeksploitasi kerentanan pada token liquid restaking rsETH KelpDAO pada 18 April 2026, menguras perkiraan 280 juta dolar AS atau lebih di Ethereum dan Arbitrum.
Poin-poin Utama:
- ZachXBT menandai pencurian bernilai 280 juta dolar AS+ di protokol DeFi Ethereum dan Arbitrum pada 18 April 2026.
- Eksploit KelpDAO menimbulkan bad debt di Aave V3, dengan token AAVE turun sekitar 10-13%.
- KelpDAO belum mengonfirmasi eksploit tersebut; analis memantau enam alamat dompet penyerang yang teridentifikasi untuk petunjuk pemulihan.
Eksploit DeFi Ethereum: Serangan rsETH KelpDAO Menguras Lebih dari 280 Juta Dolar AS
Penyelidik onchain ZachXBT memposting peringatan awal ke kanal Telegram publiknya tak lama sebelum pukul 3 sore ET, mencantumkan enam alamat dompet yang terkait dengan pencurian dan mencatat bahwa dompet penyerang dibiayai melalui Tornado Cash sebelum pengurasan dimulai. Postingan itu menyebut kerugian lebih dari 280 juta dolar AS di berbagai protokol DeFi tanpa menyebut KelpDAO secara langsung, tetapi analis onchain menghubungkan alamat-alamat tersebut dalam hitungan jam.
“Sepertinya KelpDAO baru saja kehilangan $280M+ satu jam yang lalu di Ethereum dan Arbitrum,” tulis ZachXBT. “Alamat serangan didanai via Tornado Cash.”
Laporan mengindikasikan para penyerang mengeksploitasi celah pada infrastruktur rsETH KelpDAO, memicu pelepasan tanpa izin atas volume besar token liquid restaking tanpa melakukan setoran jaminan baru. rsETH yang diperoleh kemudian didepositkan ke pasar pinjaman Aave V3 di Ethereum dan Arbitrum, tempat penyerang meminjam jumlah besar ETH dan aset lain terhadapnya.
Setelah validitas jaminan dipertanyakan, posisi-posisi tersebut membuat Aave menanggung bad debt. Perkiraan komunitas tentang total kerugian berkisar dari 100 juta dolar AS hingga sekitar 293 juta dolar AS, setara dengan kira-kira 116.500 rsETH pada harga saat ini.
AAVE anjlok tajam setelah kabar itu. Data pasar menunjukkan penurunan antara 10% dan 13% dalam beberapa jam setelah peringatan awal, saat pasar menilai potensi paparan bad debt di antara kumpulan pinjaman protokol. Penjaga multisig AAVE membekukan rsETH di pasar pinjaman, menurut data onchain.
Token liquid restaking seperti rsETH tertanam jauh di dalam komposabilitas DeFi. Token ini diterima sebagai jaminan di banyak pasar pinjaman secara bersamaan, yang berarti eksploit dapat menyebarkan kerugian dengan cepat ke berbagai platform. Insiden KelpDAO menunjukkan risikonya secara langsung.
Dompet penyerang yang tercantum oleh ZachXBT menampilkan posisi ETH besar yang dipegang di Aave dan Compound. Satu alamat saja dilaporkan memegang sekitar 120 juta dolar AS dalam ETH di Aave pada saat terdeteksi. Dana dipindahkan cepat setelah pengurasan.
Penggunaan Tornado Cash untuk mendanai dompet operasional sebelum serangan adalah taktik standar bagi penyerang yang berupaya menyamarkan asal-usul. Itu tidak menunjukkan teknik baru, tetapi mengonfirmasi operasi tersebut disengaja dan direncanakan.
Hingga sekitar pukul 3 sore ET pada 18 April, KelpDAO belum memublikasikan pernyataan resmi atau post-mortem. Komunitas memantau akun X proyek dan situs webnya untuk respons, serta kanal tata kelola Aave untuk tindakan darurat apa pun.
Perusahaan keamanan DeFi, termasuk Peckshield, Slowmist, dan lainnya, belum memublikasikan rincian terperinci pada saat penulisan ini, mencerminkan seberapa cepat situasinya berkembang. ZachXBT belum memposting tindak lanjut yang secara spesifik menyebut KelpDAO di kanal publik, tetapi tumpang tindih alamat membentuk garis yang jelas.
Insiden ini terpisah dari eksploit Drift Protocol yang pertama kali dilaporkan oleh Bitcoin.com News pada 1 April 2026, yang melibatkan sekitar 280 juta dolar AS yang dikuras terutama di Solana sebelum USDC dijembatani ke Ethereum melalui CCTP. Mekanisme, rantai, dan timeline-nya berbeda.
Siapa pun yang memegang rsETH atau posisi terkait di Aave, Compound, atau pasar pinjaman lainnya disarankan oleh anggota komunitas untuk meninjau paparan mereka selama situasi masih belum terselesaikan.
Enam dompet penyerang yang teridentifikasi oleh ZachXBT tetap menjadi target aktif untuk penelusuran onchain saat analis bekerja memetakan ke mana dana mengalir setelah keluar dari Aave.
Catatan Editor: Artikel ini diperbarui pada pukul 4 sore ET untuk mencatat bahwa penjaga multisig Aave membekukan rsETH di pasar pinjaman tertentu.
