#KelpDAOBridgeHacked

Eksploit Jembatan KelpDAO - 18 April 2026: Apa yang Terjadi dan Status Terkini

Pada 18 April 2026, KelpDAO, sebuah protokol restaking cair, mengalami salah satu eksploit DeFi terbesar tahun ini ketika jembatan lintas rantai-nya disusupi. Penyerang berhasil menguras sekitar 116.500 token rsETH, yang bernilai sekitar $292 juta pada saat kejadian. Ini menandai peretasan kripto terbesar tahun 2026 sejauh ini, melampaui eksploitasi Drift Protocol yang terjadi sebelumnya di bulan April.

Bagaimana Eksploitasi Terjadi

Serangan memanfaatkan kerentanan kritis dalam infrastruktur jembatan yang didukung LayerZero milik KelpDAO. Penyerang mengirim pesan lintas rantai palsu ke OFT Adapter KelpDAO di Ethereum mainnet, dengan klaim palsu berasal dari Unichain. Penyebab utamanya adalah konfigurasi keamanan jembatan yang sangat keliru. KelpDAO telah menerapkan konfigurasi jaringan verifikasi terdesentralisasi 1-dari-1 DVN (Decentralized Verifier Network), bergantung pada satu verifier LayerZero Labs tanpa redundansi atau verifier sekunder opsional. Pendekatan keamanan minimal ini memungkinkan pesan palsu tersebut lolos validasi tanpa tantangan, memicu vault jembatan untuk melepaskan token rsETH yang tidak didukung ke dompet penyerang.

Perlu dicatat bahwa ini bukan bug di protokol LayerZero itu sendiri. LayerZero V2 dirancang modular, memungkinkan proyek memilih tumpukan verifier mereka sendiri. KelpDAO memilih konfigurasi keamanan paling minimal yang memungkinkan, yang terbukti sangat merugikan.

Strategi DeFi Penyerang

Setelah mendapatkan rsETH yang tidak didukung, penyerang langsung menggunakannya sebagai jaminan di berbagai protokol DeFi untuk mendapatkan nilai maksimum. Di pasar Aave V3 dan V4 di Ethereum dan Arbitrum, penyerang meminjam sekitar 52.834 WETH di Ethereum dan 29.782 WETH plus 821 wstETH di Arbitrum. Aktivitas pinjaman tambahan juga diamati di protokol Compound dan Euler, sehingga total nilai yang diekstraksi melebihi $200 juta. Dana yang dicuri kemudian dicuci melalui Tornado Cash.

Respons Segera dan Pengendalian Kerusakan

KelpDAO mendeteksi eksploitasi dalam waktu sekitar satu jam, berkat pemantauan on-chain oleh peneliti keamanan termasuk ZachXBT. Protokol segera menghentikan jembatan di Ethereum dan rantai lain yang didukung, berhasil memblokir dua upaya serangan lanjutan. KelpDAO mengeluarkan pernyataan publik yang menunjukkan keterbukaan untuk negosiasi white-hat dengan penyerang.

Aave merespons dengan membekukan pasar rsETH di V3 dan V4 di Ethereum dan Arbitrum. Protokol lain seperti SparkLend, Fluid, dan Upshift juga mengambil tindakan pencegahan. Insiden ini meninggalkan Aave dengan sekitar $177 juta dalam utang buruk, terutama di Arbitrum, meskipun pasar di mainnet Ethereum tetap dijamin tetapi berisiko spillover. Lido menghentikan sementara deposit earnETH sebagai langkah pencegahan, sementara Ethena dan USDT0 juga menghentikan jembatan mereka secara preemptif meskipun tidak memiliki eksposur langsung.

Risiko sekunder muncul saat penggunaan ETH melonjak hingga 100% di Aave, yang berpotensi menunda likuidasi dan menciptakan ketidakseimbangan insentif pinjaman.

Status Terkini dan Implikasi

Per 19-20 April 2026, pemegang rsETH yang dijembatani menghadapi potensi potongan sebesar 15-20% menunggu upaya pemulihan. Komunitas Aave sedang aktif membahas usulan tata kelola untuk penyelesaian utang buruk, dengan perdebatan yang sedang berlangsung tentang apakah posisi di Arbitrum dan Ethereum mainnet harus diperlakukan secara terpisah.

Insiden ini menjadi pengingat keras bagi proyek DeFi untuk mengaudit konfigurasi OApp mereka dan menerapkan pengaturan multi-DVN dengan 3-4 verifier yang diperlukan daripada bergantung pada satu titik kegagalan. Untungnya, tidak ada proyek OFT LayerZero lain yang terdampak oleh kerentanan spesifik ini.

Peneliti keamanan mengharapkan analisis akar penyebab lengkap akan dipublikasikan dalam beberapa hari mendatang. Pengguna disarankan untuk memantau saluran resmi dari KelpDAO, Aave, dan analis keamanan seperti ZachXBT untuk pembaruan waktu nyata tentang situasi ini.