#KelpDAOBridgeHacked Kelp DAO Jembatan Diretas: $292 Eksploitasi Senilai Juta Mengguncang DeFi hingga Intinya

Kegagalan katastrofik dalam keamanan lintas rantai telah menyebabkan peretasan DeFi terbesar tahun 2026, memicu permainan saling menyalahkan yang pahit antara Kelp DAO dan LayerZero sambil mengancam untuk melumpuhkan protokol pinjaman utama seperti Aave.

Dalam apa yang dengan cepat menjadi eksploitasi (DeFi) paling menghancurkan tahun ini, Kelp DAO mengalami kerugian $292 juta selama akhir pekan. Serangan tersebut menargetkan jembatan lintas rantai yang didukung LayerZero dari protokol, yang mengakibatkan pencurian 116.500 token rsETH .

Insiden yang terjadi pada 18 April ini tidak hanya menguras sebagian besar likuiditas Kelp tetapi juga memicu krisis berantai di seluruh ekosistem, melibatkan raksasa pinjaman Aave dan memicu sengketa sengit tentang siapa yang akhirnya bertanggung jawab atas kegagalan keamanan tersebut .

Vektor Serangan: Bagaimana Peretas Mengakali Keamanan

Pelaku menyerang membiayai dompet mereka melalui Tornado Cash sekitar 10 jam sebelum eksploitasi, sebuah teknik pengaburan klasik yang digunakan oleh kelompok peretasan canggih . Investigasi awal, termasuk yang dilakukan oleh detektif blockchain ZachXBT, menunjukkan kemungkinan pelaku adalah Kelompok Lazarus dari Korea Utara .

Mekanisme serangan sangat teknis. Menurut laporan, peretas mengompromikan daftar node RPC yang digunakan oleh LayerZero Labs' Decentralized Verified Network (DVN). Dengan meracuni dua node dan meluncurkan serangan DDoS pada yang lain, para pelaku memaksa jaringan menerima pesan lintas rantai palsu .

Pesan palsu ini menipu kontrak jembatan Kelp DAO untuk "melepaskan" 116.500 rsETH di mainnet Ethereum yang seharusnya tetap terkunci.

Permainan Menyalahkan: Kelp DAO vs. LayerZero

Setelah kejadian, muncul sengketa publik antara Kelp DAO dan LayerZero mengenai penyebab utama kerentanan tersebut.

· Sikap LayerZero: Protokol pesan telah menyalahkan Kelp DAO karena menggunakan konfigurasi "1-of-1 DVN" (Decentralized Verifier Network). Mereka berargumen bahwa pengaturan ini menciptakan titik kegagalan tunggal yang katastrofik, karena tidak ada validator independen kedua untuk menandai transaksi jahat. LayerZero mengklaim telah menyampaikan praktik terbaik terkait diversifikasi, tetapi Kelp memilih untuk tidak mengadopsinya .
· Pembelaan Kelp DAO: Dalam bantahan tegas, Kelp DAO menolak klaim tersebut, menyatakan bahwa model DVN 1-of-1 adalah konfigurasi default yang diuraikan dalam dokumentasi LayerZero sendiri untuk peluncuran OFT (Omnichain Fungible Token) yang baru. Kelp menegaskan bahwa mereka telah mengoperasikan infrastruktur ini sejak Januari 2024 dan bahwa pengaturan tersebut sebelumnya dikonfirmasi sesuai oleh perwakilan LayerZero .

Penularan Meluas: Aave Menghadapi $230M Lubang

Akibat paling parah dari peretasan ini adalah risiko sistemik yang dihadapi Aave, protokol pinjaman DeFi terkemuka.

Alih-alih menjual rsETH yang dicuri, pelaku menyetor 89.567 token tersebut ke Aave sebagai jaminan dan meminjam sekitar $190 juta dalam WETH dan wstETH . Ini meninggalkan Aave memegang jaminan yang nilainya secara fundamental terganggu.

Menurut laporan insiden dari Aave Labs, kerugian potensial untuk Aave sangat bervariasi tergantung pada bagaimana Kelp DAO memutuskan untuk mengalokasikan kekurangan:

1. Kerugian Bersama ($124 juta): Jika kerugian dibagi di antara semua pemegang rsETH (peristiwa de-pegging 15%).
2. Isolasi Layer 2 ($230 juta): Jika kerugian terbatas hanya pada jaringan Layer 2, meninggalkan kepemilikan utama Aave sebagian tidak didukung .

Sebagai tanggapan, Aave membekukan pasar rsETH di V3 dan V4, menetapkan rasio Loan-to-Value menjadi nol untuk mencegah pinjaman lebih lanjut. Token Aave (AAVE) turun 10% setelah berita ini, dan lebih dari $10 miliar dalam Total Value Locked (TVL) melarikan diri dari protokol saat pengguna bergegas menarik dana .

Rem Darurat: Arbitrum Membekukan $71 Juta

Dalam aksi cepat intervensi tata kelola yang langka, Dewan Keamanan Arbitrum melangkah untuk membekukan 30.766 ETH—bernilai sekitar $71,1 juta—yang terkait dengan eksploitasi di jaringan Arbitrum One .

Dana tersebut telah dipindahkan ke dompet pembekuan perantara. Arbitrum menyatakan bahwa aset ini akan tetap tidak dapat digerakkan menunggu keputusan tata kelola resmi, yang bisa berujung pada pengembalian dana kepada pengguna . Dewan mencatat bahwa mereka bertindak dengan masukan dari penegak hukum terkait identitas pelaku eksploitasi .

Apa yang Terjadi Selanjutnya?

Hingga saat ini, situasi tetap cair tetapi sangat mengkhawatirkan. Kelp DAO telah menghentikan kontrak rsETH-nya di mainnet dan beberapa jaringan Layer-2 . Masalah utama yang dihadapi dalam upaya penyelesaian adalah bahwa Kelp DAO kemungkinan tidak memiliki ukuran kas yang cukup untuk menanggung kerugian $292 juta secara sepihak .

Pengamat industri menyarankan bahwa LayerZero mungkin dipaksa untuk turun tangan demi menyelamatkan reputasi ekosistem OFT-nya, atau bahwa Aave mungkin perlu menggunakan kas DAO-nya ($181 juta) untuk menutup utang buruk. Namun, kedua pihak saat ini menyangkal tanggung jawab langsung.