Peristiwa keamanan terbesar tahun 2026 terjadi: Jembatan lintas rantai Kelp DAO rsETH diserang hacker, kerugian mencapai 293 juta dolar AS, dan protokol DeFi seperti Aave mengalami kerugian besar.

Tinjauan | Grok

Editor | Wu Blockchain

19 April (kejadian sebenarnya terjadi pada 18 April pukul 17:35 UTC), komunitas kripto dibanjiri oleh berita tentang penyalahgunaan besar-besaran jembatan lintas rantai Kelp DAO rsETH.

Ini adalah insiden keamanan DeFi terbesar sejak 2026, dengan kerugian sekitar 292–293 juta dolar AS, langsung melibatkan sekitar 116.500 rsETH (sekitar 18% dari total pasokan rsETH).

Peretas memalsukan pesan melalui jembatan lintas rantai yang didukung LayerZero, mencetak sejumlah besar rsETH tanpa jaminan cadangan nyata di jaringan utama Ethereum, kemudian menjadikan aset “udara” ini sebagai jaminan di Aave, Compound, Euler dan protokol pinjaman utama lainnya, meminjam sekitar 236 juta dolar AS dalam bentuk WETH/ETH berkualitas tinggi, menyebabkan risiko piutang buruk total sekitar 177–280 juta dolar AS di beberapa protokol. Insiden ini cepat menyebar di platform X (sebelumnya Twitter), diskusi dalam komunitas berbahasa Mandarin dan Inggris mencapai lebih dari satu miliar dalam beberapa jam, memicu keraguan luas terhadap keamanan jembatan lintas rantai, mekanisme staking ulang LRT, dan risiko sistemik di DeFi.

Garis waktu lengkap insiden

18 April pukul 17:35 UTC: serangan resmi dimulai. Peretas memanfaatkan celah konfigurasi Kelp DAO di jembatan lintas rantai LayerZero (mode 1/1 DVN, yaitu satu node verifikasi desentralisasi), dengan memalsukan pesan lintas rantai, memanggil fungsi lzReceive di jaringan utama Ethereum untuk melepas 116.500 rsETH tanpa cadangan nyata. Banyak pengamat di X (@zachxbt) langsung memposting hash transaksi dan catatan pencetakan yang mencurigakan.

Fase tengah serangan: peretas menggunakan alat privasi seperti Tornado Cash untuk menyamarkan sumber dana, lalu dengan cepat menyetor rsETH palsu ke 9 protokol pinjaman utama seperti Aave V3, Compound, Euler, sebagai jaminan untuk meminjam ETH/WETH nyata. Postingan komunitas di X menunjukkan tingkat penggunaan kolam pinjaman melonjak mendekati 100%, dan jumlah dana yang keluar dari beberapa protokol dalam satu hari melebihi 6,6 miliar dolar AS.

Respons Kelp DAO: sekitar 46 menit setelah serangan, dompet multi-tanda Kelp DAO mendeteksi aktivitas mencurigakan dan segera menangguhkan fungsi kontrak terkait rsETH di jaringan utama dan beberapa chain L2. Akun resmi mereka di X mengonfirmasi “terjadi aktivitas mencurigakan pada lintas rantai rsETH” dan menyatakan telah bekerja sama dengan tim LayerZero, auditor, serta pakar keamanan untuk penyelidikan menyeluruh.

Malam 18 April hingga 19 April: akun resmi Aave di X merilis pernyataan, menangguhkan pasar jaminan rsETH secara darurat untuk mencegah kerugian lebih lanjut. Protokol seperti Compound dan Euler juga mengikuti dengan menangguhkan atau membatasi operasi aset terkait. Balasan dari LayerZero di X menyatakan “mengetahui kejadian ini dan sedang menyelidiki akar penyebabnya.”

Seluruh proses ini direkam secara langsung di X, dengan banyak influencer membagikan data on-chain, dan secara khusus menyebutkan tokoh besar seperti Justin Sun menarik dana besar dari Aave, memperparah kepanikan pasar.

Analisis detail teknis (pengembang dan peneliti keamanan di X)

Berdasarkan beberapa postingan teknis di X (seperti analisis mendalam dari @kittendong dalam bahasa Mandarin), celah utama dalam serangan ini terletak pada konfigurasi Kelp DAO terhadap LayerZero OApp (Omnichain Application): menggunakan mode 1/1 DVN (hanya mengandalkan satu node verifikasi), sehingga peretas bisa memalsukan pesan verifikasi lintas rantai. Dengan payload yang dirancang matang, mereka memicu pencetakan rsETH tanpa aset jaminan nyata di chain target. Mekanisme ini secara esensial memberi peretas “nilai” hampir 3 miliar dolar AS dalam bentuk aset sintetis.

Selanjutnya, peretas menggunakan rsETH ini sebagai jaminan berlebih (over-collateralized) di protokol pinjaman, meminjam ETH nyata, menciptakan varian serangan “flash loan” yang khas. Peneliti keamanan di X menunjukkan bahwa insiden ini sangat mirip dengan kasus Nomad Bridge tahun 2022, mengungkap risiko sistemik dari kombinasi “jembatan lintas rantai + LRT (Liquid Restaking Token)”: rsETH sebagai derivatif staking ulang bergantung pada ETH yang di-stake di bawah, tetapi proses pencetakan lintas rantai kurang desentralisasi dan tidak ada pemeriksaan cadangan secara real-time.

Selain itu, beberapa postingan menyebutkan kemungkinan peretas memanfaatkan kunci privat atau konfigurasi yang bocor dari kontrak Kelp DAO (masih dalam penyelidikan), dan seluruh rantai serangan ini berlangsung efisien dan tersembunyi, dengan biaya gas yang diacak melalui berbagai teknik.

Respon resmi dan langkah darurat

Kelp DAO: posting resmi di X menyatakan “fungsi kontrak rsETH di banyak chain dihentikan sementara untuk mencegah kerugian lebih lanjut,” dan berjanji “bekerja sama dengan LayerZero dan auditor untuk merilis laporan awal dalam 24–48 jam.”

LayerZero: akun resmi mereka menyatakan “tim sedang menyelidiki akar penyebab dan akan memberikan pembaruan transparan secepatnya,” serta mengimbau semua proyek yang terintegrasi LayerZero untuk segera memeriksa pengaturan ambang DVN.

Aave: dalam pernyataan di X, mereka menyatakan “pasar rsETH dibekukan, likuiditas aman,” tetapi komunitas tetap khawatir potensi kerugian bisa mencapai 280 juta dolar AS.

Protokol lain yang terdampak (seperti Compound, Euler) juga merilis pengumuman serupa, dan postingan di X menunjukkan setidaknya 16 protokol pinjaman dan DEX telah memberlakukan pembatasan.

Dampak pasar dan reaksi berantai

Insiden ini menyebabkan guncangan besar di pasar DeFi:

Harga token: token AAVE turun 17–19% dalam 24 jam, memicu likuidasi besar-besaran; token asli LayerZero ZRO turun sekitar 20%; rsETH mengalami de-peg serius, harga sempat jauh di bawah ETH.

Guncangan likuiditas: tingkat penggunaan ETH di protokol seperti Aave mendekati 100%, dengan keluar dana harian lebih dari 6,6 miliar dolar, menyebabkan TVL DeFi hilang hampir 10 miliar dolar dalam waktu singkat.

Efek penularan: beberapa analis di X menggambarkan “peta penularan,” menunjukkan piutang buruk bisa menyebar ke seluruh ekosistem LRT dan aset lintas rantai.

Perbandingan sejarah: insiden ini melampaui kerugian sekitar 285 juta dolar dari protokol Drift 18 hari lalu, menjadi insiden peretasan terbesar di DeFi tahun 2026.

Banyak postingan menuding bahwa mode 1/1 DVN dari LayerZero adalah “bom waktu,” menyerukan semua proyek lintas rantai segera upgrade ke mode multi-verifikasi (minimal 2/3 node). Beberapa pengembang menulis “kecepatan tidak boleh mengorbankan keamanan.”

Risiko LRT dan aset sintetis: komunitas umumnya berpendapat bahwa aset seperti rsETH dalam skenario lintas rantai kurang transparan, dan @zachxbt menegaskan “LRT tanpa jaminan nyata adalah titik serangan terbesar saat ini.”

Kekhawatiran sistemik di DeFi: beberapa analis memodelkan reaksi berantai berikutnya dan menyarankan pengguna segera periksa posisi di Aave, Compound, dan protokol lain, serta menarik dana yang terpapar. Komentar di forum berbahasa Mandarin penuh dengan kalimat seperti “kejadian jembatan miliaran lagi,” “DeFi bisa dipercaya lagi?” dan “mendesak standar keamanan yang lebih tinggi.”

Sebagian besar postingan mengapresiasi respons cepat Kelp DAO (menangguhkan dalam 46 menit), dan menyatakan insiden ini akan mendorong industri mengadopsi solusi seperti zero-knowledge proof (ZK), multi-signature, dan monitoring real-time yang lebih kuat.

Secara keseluruhan, suasana hati adalah “terkejut + waspada,” meskipun beberapa pengembang berpendapat “mengungkap masalah lebih baik daripada menutup-nutupi, demi kemajuan industri jangka panjang.”

Pelajaran dan saran industri

Insiden rsETH Kelp DAO ini kembali menegaskan bahwa meskipun protokol staking ulang utama, masih ada celah sistemik di desain jembatan lintas rantai, konfigurasi node verifikasi, dan transparansi jaminan. Konsensus komunitas meliputi:

Proyek harus segera melakukan audit mandiri terhadap integrasi LayerZero dan protokol lintas rantai lainnya, mengutamakan konfigurasi desentralisasi lebih tinggi.

Pengguna harus berhati-hati terhadap aset LRT lintas rantai yang baru diluncurkan, memilih proyek dengan TVL tinggi dan audit transparan, serta melakukan diversifikasi risiko.

Industri perlu mempercepat pengembangan kerangka keamanan standar, seperti penerapan multi-DVN, verifikasi cadangan on-chain secara real-time, dan lain-lain.

Insiden ini masih dalam penyelidikan, dan Kelp DAO, LayerZero serta protokol yang terdampak akan terus memperbarui perkembangan terbaru di X. Volatilitas pasar kripto tetap tinggi, dan keamanan harus menjadi prioritas utama. Disarankan semua peserta mengikuti akun resmi mereka dan berhati-hati terhadap berita bohong.