Analisis lengkap serangan jembatan lintas rantai Kelp DAO: Bagaimana celah tanda tunggal memicu risiko sistemik DeFi sebesar 2,93 miliar dolar AS

Pada sekitar pukul 17:35 UTC tanggal 18 April 2026, protokol pledge dinamis melalui protokol Kelp DAO mengalami serangan besar-besaran pada jembatan lintas rantai rsETH. Penyerang memanfaatkan celah konfigurasi LayerZero dalam pengaturan lintas rantai, dan secara tiba-tiba mencetak sekitar 116.500 rsETH di jaringan utama Ethereum tanpa dasar, dengan perkiraan nilai sekitar 293 juta dolar AS berdasarkan harga pasar saat itu, yang menyumbang sekitar 18% dari total pasokan rsETH. Ini adalah insiden keamanan DeFi terbesar sepanjang tahun 2026 hingga saat ini.

Inti dari serangan ini terletak pada operasi lanjutan: hacker tidak langsung menjual rsETH di pasar sekunder—karena likuiditasnya tidak cukup besar dan penjualan besar akan menyebabkan slippage yang parah—melainkan menjadikan aset “udara” ini sebagai jaminan di protokol pinjaman utama seperti Aave V3, Compound V3, dan Euler, dan meminjam sekitar 236 juta dolar AS dalam bentuk WETH/ETH yang nyata.

Karakteristik utama dari insiden ini dapat dirangkum sebagai: celah konfigurasi jembatan lintas rantai + arbitrase jaminan di protokol pinjaman + risiko sistemik yang menyebar. Sebagai token pledge ulang yang likuid, aset dasar rsETH seharusnya didukung oleh cadangan nyata di dalam jembatan lintas rantai; tetapi ketika cadangan di jembatan dikosongkan, nilai rsETH langsung menjadi nol, sementara oracle di protokol pinjaman seperti Aave tetap menghitung nilai jaminan berdasarkan harga asli, menyebabkan munculnya banyak piutang buruk.

Penyerang berhasil melacak di blockchain dan memperoleh sekitar 106.466 ETH (senilai sekitar 250 juta dolar AS), termasuk sekitar 196 juta dolar AS dari pinjaman di Aave. Aave kemudian membekukan semua pasar terkait rsETH dan memperkirakan kerugian protokol sekitar 177 juta hingga 196 juta dolar AS.

Serangan Single Signature: Analisis Mendalam tentang Celah Konfigurasi LayerZero

Inti celah: Konfigurasi DVN 1/1 yang diabaikan

Inti dari serangan ini bukanlah celah pada kode kontrak pintar, melainkan kesalahan konfigurasi parameter deployment. Kontrak lintas rantai LayerZero yang digunakan oleh Kelp DAO mengadopsi konfigurasi DVN (Decentralized Verifier Network) 1/1, yaitu hanya membutuhkan satu node verifikasi untuk mengonfirmasi pesan lintas rantai. Pendiri SlowMist, Yu Xian, menyatakan di platform X bahwa dokumentasi resmi LayerZero merekomendasikan konfigurasi DVN 2/2, yang menggunakan mekanisme redundansi dengan beberapa node verifikasi.

Pada LayerZero V2, mekanisme DVN menyerahkan pengambilan keputusan keamanan ke lapisan aplikasi: setiap protokol yang terhubung dapat menentukan berapa banyak node verifikasi yang harus menyetujui agar pesan lintas rantai disetujui. Kelp DAO menetapkan ambang batas paling ekstrem, yaitu “1 dari 1”—hanya satu node yang perlu memverifikasi agar pesan dapat diproses. Konfigurasi ini menciptakan celah “single point of failure” yang dapat dieksploitasi.

Reproduksi jalur eksekusi serangan

Penyerang dengan cermat menyusun paket data lintas rantai, memanggil fungsi lzReceive di kontrak EndpointV2 LayerZero, dan mengirimkan pesan palsu ke kontrak jembatan Kelp. Pesan ini mengklaim bahwa aset rsETH di rantai sumber telah dikunci, dan meminta agar di rantai target (jaringan utama Ethereum) dilepaskan jumlah rsETH yang setara.

Celah utama terletak pada: kontrak jembatan Kelp tidak melakukan verifikasi ketat terhadap “asal rantai” dari pesan lintas rantai tersebut. Kontrak secara default mempercayai pesan yang dikirim oleh LayerZero dan mengeksekusi pelepasan, padahal di rantai sumber sebenarnya tidak ada rsETH yang dikunci.

Transaksi penyerang didukung oleh biaya transaksi dari Tornado Cash, menunjukkan bahwa dana telah dipersiapkan secara anonim sebelum serangan.

Kelemahan audit: Mengapa alat audit kode secara kolektif diam?

Insiden ini berbeda secara mendasar dari serangan reentrancy, overflow integer, atau celah kode kontrak pintar lainnya. Audit keamanan DeFi tradisional biasanya fokus pada deteksi celah di kode kontrak, dan alat seperti Slither, Mythril, dan lainnya hampir tidak mampu mendeteksi risiko konfigurasi. Penelitian menunjukkan bahwa bahkan celah yang dapat dimanfaatkan di kode hanya terdeteksi sekitar 8-20% oleh alat yang ada. Parameter konfigurasi (seperti ambang DVN, jumlah node verifikasi) tidak termasuk dalam cakupan analisis statis, sehingga menjadi area buta dalam audit keamanan.

Replikasi di blockchain: Garis waktu serangan 46 menit dan pelacakan aliran dana 2,5 miliar dolar

Timeline kejadian utama

Sumber data: catatan pelacakan di blockchain

Rincian aliran dana

Berikut tabel yang memperlihatkan langkah-langkah penyerang mengubah “rsETH udara” menjadi ETH nyata:

Sumber data: pelacakan di blockchain dan laporan resmi dari berbagai protokol

Seluruh proses serangan berlangsung hanya sekitar 46 menit, dari awal mendapatkan keuntungan hingga Kelp menghentikan kontrak, dan inti dari operasi ini adalah pengaturan jaminan dan pinjaman. Perlu dicatat bahwa dari kejadian hingga pengumuman resmi oleh tim Kelp memakan waktu hampir tiga jam.

Getaran pasar: TVL Aave hilang 6,6 miliar dolar dalam satu hari dan penurunan harga token secara umum

Krisis likuiditas Aave dan penarikan besar-besaran institusi

Insiden serangan Kelp langsung memicu keluarnya dana besar dari Aave. Menurut data DefiLlama, total nilai terkunci (TVL) Aave dari sekitar 26,4 miliar dolar pada 18 April turun drastis menjadi 17,947 miliar dolar dalam dua hari, kehilangan sekitar 8,45 miliar dolar. Total TVL DeFi di seluruh blockchain juga turun dari sekitar 99,5 miliar dolar menjadi 86,3 miliar dolar, berkurang sekitar 13,21 miliar dolar dalam dua hari.

Dalam satu hari, keluar dana mencapai sekitar 6,6 miliar dolar, termasuk 3,3 miliar dolar dalam bentuk stablecoin. Pada 20 April 2026, berdasarkan data pasar Gate, harga AAVE berada di sekitar 91,66 dolar, turun 1% dalam 24 jam, dan lonjakan biaya likuidasi selama akhir pekan menyebabkan biaya harian protokol mencapai puncaknya sekitar 1,99 juta dolar.

Keluarnya dana ini bukan karena panic selling oleh pengguna retail, melainkan sebagai langkah penghindaran risiko oleh institusi dan whale besar. Data di blockchain menunjukkan bahwa investor terkenal Justin Sun menarik keluar 65.584 ETH (sekitar 154 juta dolar). Rasio penggunaan dana ETH di Aave mencapai 100%, dan suku bunga pinjaman USDT serta USDC melonjak hingga 15%, sementara hasil tahunan dari simpanan meningkat ke 13,4%, menandakan ketatnya likuiditas.

Performa pasar token terkait

Per 20 April 2026, berdasarkan data Gate:

• KernelDao (KERNEL): Terkena dampak serangan, kepercayaan pasar terhadap token ini menurun. Harga KERNEL sekitar 0,0692 dolar, turun sekitar 4,25% dalam 24 jam. Penurunan selama seminggu terakhir sekitar 17,62%, kapitalisasi pasar sekitar 11,29 juta dolar.
• AAVE (AAVE): Setelah insiden, harga token sempat turun lebih dari 22%, saat ini sekitar 91,66 dolar, menandai penilaian ulang risiko terhadap jaminan Aave. Kapitalisasi pasar sekitar 1,38 miliar dolar, turun 17,89% dalam sebulan terakhir.
• LayerZero (ZRO): Token infrastruktur lintas rantai ini sempat turun lebih dari 40% setelah kejadian. Harga terbaru sekitar 1,61 dolar, naik 5,85% dalam 24 jam, tetapi selama seminggu turun 16,3%, kapitalisasi sekitar 406,5 juta dolar.

Respon defensif seluruh industri

Setelah kejadian, banyak protokol mengambil langkah darurat:

Curve Finance menghentikan semua infrastruktur berbasis LayerZero, termasuk jembatan token CRV di BNB Chain, Sonic, dan Avalanche, serta jembatan stablecoin crvUSD. Mereka menyatakan ini sebagai langkah pencegahan, meskipun protokol itu sendiri tidak diserang langsung.

Morpho menghentikan jembatan lintas rantai OFT untuk token MORPHO di Arbitrum sebagai langkah pencegahan.

Reserve Protocol menghentikan penerbitan eUSD dan USD3 karena cadangan jaminan mengandung rsETH, meskipun fungsi penebusan tetap aktif.

Selain itu, bursa aset digital Korea Selatan seperti Upbit dan Bithumb mengeluarkan peringatan kepada investor terkait Kernel DAO, mengingatkan untuk berhati-hati.

Paradigma Rekonstruksi: Kepercayaan lintas rantai, risiko LRT, dan celah audit

Dampak terhadap kepercayaan infrastruktur lintas rantai

Insiden ini menjadi ujian besar terhadap keamanan jembatan lintas rantai. Jembatan lintas rantai selalu menjadi bidang rawan dalam insiden keamanan crypto—mulai dari Nomad pada 2022 hingga serangan Kelp DAO ini, konfigurasi verifikasi pesan lintas rantai terus menjadi titik lemah yang dieksploitasi. Tren yang menarik adalah: setelah kejadian ini, beberapa proyek seperti Solv mengumumkan penghentian penggunaan jembatan OFT LayerZero.

Langkah pencegahan Curve dan Morpho, meskipun melindungi dana pengguna dalam jangka pendek, juga mengungkap ketergantungan berlebihan terhadap infrastruktur bersama. Ketika satu protokol bermasalah, dan protokol lain harus mengambil langkah defensif, ini dapat menyebabkan fragmentasi likuiditas token dan menurunkan kepercayaan terhadap keamanan jembatan lintas rantai.

Risiko token pledge ulang lintas rantai dan penilaian ulang risiko

rsETH sebagai token pledge ulang yang likuid bergantung pada aset dasar yang dikunci di jembatan lintas rantai. Insiden ini mengungkap kerentanan utama dari aset LRT: “Jembatan diserang → cadangan dasar dikosongkan → nilai LRT menjadi nol → jaminan gagal → piutang buruk di protokol pinjaman”.

Aave sebelumnya tidak pernah mengalami insiden keamanan, dan meskipun insiden ini bukan karena celah kode kontrak mereka, tetap terkait dengan penilaian risiko dan pengaturan isolasi terhadap token LRT. Sebagai contoh, Spark Protocol sejak Januari lalu telah menghapus rsETH dan aset dengan penggunaan rendah dari daftar jaminan, sehingga tidak terkena dampak dalam gelombang ini.

Pendiri Curve, Michael Egorov, berkomentar di platform X bahwa insiden ini adalah risiko dari model “pinjaman tidak terisolasi” yang banyak digunakan saat ini—model yang memiliki skalabilitas baik tetapi risiko lebih tinggi, dan manajemen risiko sangat penting. Model hub and spoke di Aave V4 mungkin merupakan langkah ke arah semi-islasi dan lebih aman.

Peningkatan paradigma audit keamanan

Insiden ini juga mengungkap celah sistemik dalam audit keamanan DeFi. Seperti disebutkan sebelumnya, risiko konfigurasi dan keamanan operasi kunci/node berada di luar cakupan alat dan metode audit yang ada.

Setelah kejadian, LayerZero menyatakan akan mendesak semua proyek yang menggunakan konfigurasi DVN tunggal untuk segera beralih ke arsitektur DVN multi, dan telah menghentikan layanan tanda tangan dan verifikasi untuk konfigurasi 1/1. Langkah ini dapat mendorong standar minimum keamanan konfigurasi lintas rantai di industri. Salah satu arah masa depan adalah daftar audit keamanan DeFi harus diperluas untuk mencakup peninjauan parameter konfigurasi, evaluasi keamanan RPC node, verifikasi multi-tanda, dan risiko non-kode lainnya.

Penutup

Insiden serangan Kelp DAO senilai 293 juta dolar AS tidak hanya memecahkan rekor kerugian dalam insiden keamanan DeFi 2026, tetapi juga mengungkap sebuah kebenaran yang selama ini diabaikan industri: keamanan DeFi tidak hanya bergantung pada kualitas kode, tetapi juga pada kelayakan parameter konfigurasi, keamanan operasional node, dan ketahanan ketergantungan ekosistem.

Secara teknis, pilihan konfigurasi DVN “1/1” dalam waktu 46 menit memicu krisis sistemik yang melibatkan beberapa protokol utama. Dari sisi pasar, Aave kehilangan total TVL sebesar 8,45 miliar dolar AS dalam dua hari, total TVL DeFi menyusut lebih dari 13,2 miliar dolar, dan pasar sedang menilai ulang risiko “risiko jembatan lintas rantai + jaminan LRT”.

Insiden ini juga menegaskan kembali sifat pedang bermata dua dari struktur “Lego” DeFi—tingginya tingkat komposabilitas membawa efisiensi modal dan inovasi, tetapi juga berarti bahwa kegagalan titik tunggal dapat menyebar ke seluruh ekosistem dalam hitungan menit.