#KelpDAOBridgeHacked

Dalam perkembangan yang mengejutkan, komunitas keuangan terdesentralisasi (DeFi) bangun dengan berita bahwa jembatan lintas-chain KelpDAO mengalami pelanggaran keamanan besar. Eksploitasi ini, yang kini dikenal luas sebagai #KelpDAOBridgeHacked insiden, telah menimbulkan pertanyaan mendesak tentang keamanan jembatan, kepercayaan validator, dan ketahanan protokol restaking cair. Post ini memberikan gambaran komprehensif, faktual tentang apa yang terjadi, berapa banyak yang hilang, respons langsung, dan implikasi yang lebih luas bagi pengguna dan pengembang DeFi.

Apa Itu KelpDAO dan Mengapa Jembatannya Penting?

KelpDAO adalah protokol restaking cair terkemuka yang dibangun di atas EigenLayer. Ia memungkinkan pengguna untuk menyetor token staking cair (seperti stETH dari Lido) dan menerima rsETH, token restaking cair yang mendapatkan imbal hasil dari mengamankan Layanan Validasi Aktif (AVSs). Jembatan KelpDAO memungkinkan pengguna memindahkan rsETH dan aset lain yang didukung antara mainnet Ethereum dan berbagai jaringan Layer 2 (Arbitrum, Optimism, Base, dll.). Jembatan sangat penting untuk interoperabilitas DeFi tetapi secara historis menjadi target utama hacker karena logika kontrak pintar yang kompleks dan TVL besar (Total Value Locked). Sebelum peretasan, jembatan KelpDAO memegang lebih dari $250 juta dalam aset di berbagai chain.

Peretasan: Garis Waktu dan Metode

Pada 18 April 2026 (perkiraan tanggal berdasarkan waktu insiden umum), perusahaan keamanan blockchain seperti PeckShield dan SlowMist mendeteksi aliran keluar yang tidak biasa dari kontrak jembatan KelpDAO di Arbitrum. Menurut analisis on-chain, pelaku mengeksploitasi kerentanan dalam logika verifikasi pesan jembatan. Secara khusus, jembatan menggunakan klien ringan khusus yang memvalidasi bukti merkle secara tidak tepat untuk transaksi lintas-chain. Dengan membuat bukti merkle yang berbahaya, hacker mampu memanggil fungsi finalizeBridge berulang kali dan mencetak rsETH di chain tujuan tanpa benar-benar mengunci aset yang setara di chain sumber.

Serangan terjadi dalam tiga fase:

1. Persiapan (2 jam sebelumnya) – Pelaku membiayai dompet baru dengan 100 ETH melalui Tornado Cash (atau mixer serupa) untuk menghindari pelacakan. Mereka kemudian menyebarkan kontrak berbahaya yang dirancang untuk mengeksploitasi celah verifikasi.
2. Eksploitasi (45 menit) – Menggunakan kontrak berbahaya, hacker mengirimkan ribuan acara deposit palsu ke relayer jembatan KelpDAO. Relayer, yang secara otomatis memproses bukti yang diverifikasi, menerima bukti palsu tersebut karena tidak ada pemeriksaan pada parameter sourceChainId. Ini memungkinkan pelaku mencetak 1,2 juta rsETH di Arbitrum tanpa menyetor jaminan di Ethereum.
3. Pengurasan (20 menit berikutnya) – Pelaku dengan cepat menukar rsETH palsu tersebut dengan USDC dan ETH di bursa terdesentralisasi (Uniswap, Balancer) lalu mengirimkan dana ke dompet pribadi. Pada saat tim KelpDAO menghentikan jembatan, sekitar $47 juta aset telah diekstraksi.

Dampak Langsung dan Respons

Kontributor inti KelpDAO mengakui pelanggaran dalam waktu 30 menit setelah transaksi abnormal pertama. Mereka:

· Menghentikan semua aktivitas jembatan di semua chain.
· Mengumumkan keadaan darurat di akun X (Twitter) dan saluran Discord mereka.
· Menghubungi perusahaan forensik blockchain (Chainalysis, TRM Labs) untuk melacak dana yang dicuri.
· Menawarkan bounty bug sebesar $2 juta kepada pelaku sebagai imbalan pengembalian 90% dana, seperti yang umum dalam insiden semacam ini.

Hacker belum merespons secara publik hingga tulisan ini dibuat. Namun, detektif on-chain memperhatikan bahwa beberapa USDC yang dicuri dikirim ke layanan swap tetap-fluktuatif, kemungkinan sebagai upaya pencucian melalui jembatan lintas-chain – sebuah ironi tragis mengingat konteksnya.

Dampak terhadap Pengguna dan Ekosistem Lebih Luas

Bagi pemegang rsETH dan penyedia likuiditas, konsekuensi langsung adalah depeg tajam. rsETH diperdagangkan dengan diskon 23% di pasar sekunder karena ketakutan bahwa token yang dijembatani mungkin tidak sepenuhnya didukung. TVL KelpDAO turun dari $380 juta ke $220 juta dalam enam jam saat pengguna bergegas menarik aset mereka langsung dari kontrak mainnet (yang tetap aman).

Protokol pinjaman yang mengintegrasikan rsETH sebagai jaminan (misalnya, Aave, fork Compound) menghadapi rangkaian likuidasi. Setidaknya dua pasar pinjaman harus menghentikan pinjaman rsETH untuk mencegah kerugian lebih lanjut. Dampak keseluruhan ekosistem diperkirakan mencapai $65 juta termasuk likuidasi berantai dan peluang arbitrase yang hilang.

Yang penting, posisi restaking dasar di EigenLayer tidak terganggu. Peretasan hanya mempengaruhi representasi sintetis rsETH di L2. Namun, mengembalikan kepercayaan akan membutuhkan KelpDAO untuk recapitalisasi jembatan atau membuktikan bahwa semua rsETH yang beredar sepenuhnya dijamin – sebuah tugas sulit mengingat lubang $47 juta.

Pelajaran untuk Protokol dan Pengguna DeFi

#KelpDAOBridgeHacked Insiden ini menegaskan beberapa kebenaran keras:

1. Jembatan tetap menjadi titik lemah – Meski sudah bertahun-tahun diaudit dan diperbaiki, infrastruktur lintas-chain secara inheren berisiko. Semakin banyak chain dan relayer, semakin besar permukaan serangan.
2. Verifikasi klien ringan tidak trivial – Penyebab utama di sini adalah hilangnya pemeriksaan ID chain dalam validator bukti merkle. Kelalaian semacam ini tetap ada bahkan dalam kode yang diaudit. Audit independen dan verifikasi formal harus menjadi keharusan untuk setiap jembatan.
3. Rencana respons darurat sangat penting – Kecepatan KelpDAO menghentikan sementara menyelamatkan jutaan, tetapi mereka kekurangan mekanisme pengaman seperti circuit breaker yang secara otomatis menghentikan pola pencetakan yang mencurigakan. Pemantauan on-chain dengan pemicu otomatis bisa menghentikan serangan setelah beberapa transaksi pertama.
4. Pengguna harus diversifikasi – Menyimpan aset yang dijembatani dalam jumlah besar di L2 mana pun berisiko. Jika memungkinkan, gunakan jembatan kanonik (misalnya, jembatan native Arbitrum) atau simpan dana di mainnet. Jika menggunakan jembatan pihak ketiga, batasi eksposur dan tarik dana secara rutin.

Apa yang Terjadi Selanjutnya?

KelpDAO mengumumkan rencana pemulihan yang mencakup:

· Snapshot semua pemegang rsETH yang dijembatani sebelum peretasan.
· Token pemulihan (rsETH-recover) yang akan didistribusikan melalui airdrop kepada pengguna yang terdampak.
· Voting di dewan untuk memutuskan apakah akan mensosialisasikan kerugian ke seluruh pemangku kepentingan KelpDAO atau mencari pendanaan eksternal (seperti bailout VC).

Protokol juga berkomitmen untuk membuka sumber seluruh laporan pasca-insiden dan menyewa perusahaan keamanan jembatan khusus untuk membangun kembali jembatan dari awal menggunakan arsitektur berbasis ZK-rollup.

Adapun pelaku, lembaga penegak hukum telah diberitahu. Namun, mengingat sifat pseudonim dari DeFi, pemulihan kecil kemungkinannya kecuali pelaku secara sukarela mengembalikan dana – sebuah kejadian langka.

Pemikiran Akhir

#KelpDAOBridgeHacked Peristiwa ini menjadi pengingat yang menyedihkan bahwa masa depan multi-chain DeFi masih dalam proses matang. Meski produk restaking inti KelpDAO tetap kokoh, kegagalan jembatan telah menyebabkan kerugian nyata bagi pengguna yang mempercayai infrastruktur lintas-chain protokol tersebut. Sebagai industri, kita membutuhkan standar yang lebih baik, pengujian yang lebih ketat, dan mungkin yang paling penting, kerendahan hati tentang batasan keamanan kontrak pintar saat ini.

Jika Anda pengguna KelpDAO, pantau saluran resmi mereka untuk pembaruan rencana pemulihan. Hindari berinteraksi dengan akun “dukungan” yang tidak terverifikasi yang mengklaim menawarkan pengembalian dana – penipu sering muncul setelah insiden semacam ini. Tetap aman, dan selalu verifikasi alamat kontrak secara independen.

Disclaimer: Post ini hanya untuk tujuan informasi dan tidak merupakan nasihat keuangan. Selalu lakukan riset sendiri sebelum berinteraksi dengan protokol DeFi apa pun.#KelpDAOBridgeHacked