Judul asli: The $292 Million Heist: What the Kelp DAO Hack Tells Us About DeFi』s Deepest Flaw
Penulis asli: Arche Capital
Diterjemahkan: Peggy, BlockBeats

Catatan editor: Pada 18 April, KelpDAO mengalami pencurian aset sekitar 292 juta dolar AS. Ini bukanlah serangan “kontrak pintar diretas” secara tipikal, melainkan reaksi berantai yang dipicu oleh kesalahan konfigurasi lapisan verifikasi lintas rantai: penyerang memalsukan pesan, sehingga 116.500 rsETH yang seharusnya tidak ada, tercipta begitu saja, dan “aset tanpa jaminan” ini dipindahkan ke Aave untuk meminjam ETH nyata, risiko pun menyebar dengan cepat dari satu protokol ke seluruh sistem DeFi yang berjangka panjang.

Dalam sistem yang sangat komposabel, jembatan lintas rantai, token staking likuid dan protokol pinjam-meminjam saling terintegrasi secara berlapis, setiap konfigurasi “lokal” yang tampaknya sepele bisa menjadi titik pemicu penetrasi seluruh jalur. Ketika aset seperti rsETH dipandang sebagai jaminan yang mendekati aman, mekanisme dasarnya gagal, yang terjadi bukan hanya fluktuasi harga, melainkan keruntuhan bersamaan dari sistem penetapan harga dan kepercayaan.

Penulis menyimpulkan bahwa, meskipun DeFi selama beberapa tahun terakhir terus memperkuat modularitas, komposabilitas, dan desain “tanpa izin”, mereka tetap kekurangan standar keamanan minimum. Ini berarti, satu kesalahan konfigurasi secara teknis “opsional” bisa berkembang menjadi risiko sistemik.

Ketika sistem keuangan berleverage tinggi dan saling terhubung dibangun di atas konfigurasi rekayasa yang rapuh, “mengurangi kepercayaan” tidak otomatis berarti “lebih aman”.

Berikut teks asli:

Sabtu sore, sebuah pesan palsu (hampir hanya berupa satu baris teks angka), membuat sebuah perangkat lunak secara aktif menyerahkan 292 juta dolar AS. Tanpa senjata api, tanpa serangan sosial engineering, tanpa dalang internal. Hanya satu kesalahan pengaturan keamanan dan seorang penyerang yang sudah merencanakan matang selama berjam-jam, dengan sabar menunggu.

Pada Minggu pagi, insiden peretasan DeFi terbesar tahun 2026 ini telah menghapus 6,6 miliar dolar dari neraca Aave, menyebabkan token AAVE jatuh 16%, membekukan likuiditas di setidaknya sembilan protokol utama, dan kembali memunculkan kalimat familiar: DeFi telah mati.

Namun, itu tidak benar-benar mati. Tapi kali ini, ia kembali mengungkap luka struktural yang lama dihindari industri, namun tak pernah benar-benar diperbaiki.

Selanjutnya, kita akan membedah proses kejadian ini, dampaknya, dan kemungkinan langkah perubahan berikutnya.

Analogi: Lemari Pakaian

Sebelum masuk ke detail teknis, mari gunakan gambaran ini untuk membantu memahami seluruh kejadian.

Bayangkan Kelp DAO seperti sebuah bangunan besar yang memiliki tempat penitipan pakaian yang melintasi 20 ruangan. Kamu menyerahkan jaket (ETH), dan mereka memberimu sebuah tiket pengambilan (rsETH). Tiket ini sendiri berharga: membuktikan jaket milikmu, bisa menghasilkan pendapatan selama menunggu, dan yang paling penting—ketika jaket masih disimpan, kamu bisa memegang tiket ini dan menggunakannya sebagai jaminan untuk meminjam uang di konter manapun di dalam bangunan tersebut.

Semua jaket disimpan di gudang utama di lantai dasar (mainnet Ethereum). Setiap tiket di setiap ruangan akhirnya didukung oleh gudang utama ini.

Ruangan-ruangan ini terhubung melalui “sistem interkom” yang disebut LayerZero. Ketika orang di ruangan nomor 12 (Arbitrum) ingin berkomunikasi dengan gudang, mereka harus melalui sistem ini. Sistem ini memiliki “petugas keamanan”—disebut DVN (Jaringan Verifikasi Terdesentralisasi)—yang bertugas memverifikasi keaslian pesan sebelum dieksekusi.

Masalahnya, Kelp hanya mengatur satu petugas keamanan untuk sistem interkom ini. Hanya satu. Setiap instruksi cukup ditandatangani satu kali untuk dianggap “asli”.

Penyerang mendekati interkom, menyamar sebagai orang dari ruangan lain, dan berkata: “Lepaskan 116.500 tiket.” Petugas keamanan tunggal ini menerima pesan palsu tersebut. Gudang pun mengeluarkan tiket yang bernilai 292 juta dolar—sementara tidak ada yang benar-benar memasukkan jaket ke dalam gudang.

Kemudian, penyerang langsung pergi ke Aave (konter pinjam-meminjam di bangunan itu), dan berkata: “Saya ingin menggunakan tiket ini sebagai jaminan untuk meminjam.” Aave menerima tiket tersebut berdasarkan nilai nominalnya. Penyerang akhirnya membawa pergi lebih dari 236 juta dolar ETH nyata.

Sementara itu, Aave menyisakan sekelompok “nota” tanpa dukungan aset nyata apa pun.

Bagaimana kejadian ini terjadi (dengan langkah-langkah)

Persiapan awal

Sekitar 10 jam sebelum serangan, penyerang mengisi dana ke 6 dompet melalui Tornado Cash, untuk menyembunyikan sumber dana. Ini adalah proses persiapan standar—terencana, sabar, dan cukup profesional.

Pelaksanaan serangan

Pada 18 April 2026 pukul 17:35 (UTC), dompet penyerang memanggil fungsi lzReceive di kontrak EndpointV2 dari LayerZero—yang merupakan pintu masuk pesan lintas rantai yang diterima dan dieksekusi.

Penyerang membuat pesan palsu yang tampak seperti berasal dari kontrak sah di Unichain, menginstruksikan jembatan Kelp untuk melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang.

Jembatan mengeksekusi instruksi ini.

Tidak ada pembakaran di sumber rantai, tidak ada jaminan, tidak ada transaksi nyata yang diajukan. Cadangan langsung dikuras. 116.500 rsETH—sekitar 18% dari total pasokan—tiba-tiba muncul di dompet penyerang.

Masalah utama DVN

Inti masalahnya: Kelp menggunakan konfigurasi DVN 1/1—hanya satu node verifikasi yang bertanggung jawab memastikan pesan lintas rantai valid.

Selama node ini diretas atau dipalsukan, pesan apa pun bisa dibuat. Seperti yang dikatakan seorang pengembang di X: “Cukup satu tanda tangan, 116.500 rsETH bisa tercipta di Ethereum. Bukan kontraknya yang rusak, tapi lapisan verifikasi yang rusak.”

Penjelasan lain dari D2 Finance, lembaga analisis blockchain: kemungkinan kunci pribadi node OApp di sumber rantai bocor, sehingga penyerang mendapatkan kemampuan tanda tangan yang sah.

Intinya sama: titik tunggal kegagalan (single point of failure).

Langkah kedua: menguras nilai

Penyerang tidak langsung menjual 292 juta dolar rsETH ke pasar—karena itu akan menyebabkan harga langsung ambruk.

Mereka memilih jalur yang lebih efisien: menyimpan rsETH ini ke Aave V3 sebagai jaminan, dan meminjam WETH dalam jumlah besar. Karena rsETH ini sebenarnya tidak didukung aset nyata, jaminan ini secara esensial adalah “udara”. Tapi Aave tidak bisa langsung mengenali ini, dan tetap memperlakukan sebagai jaminan normal.

Hasilnya, penyerang membawa ETH nyata, dan meninggalkan piutang buruk.

Respon darurat

Multi-sig darurat Kelp mengeksekusi perintah pauseAll dalam 46 menit, membekukan pool deposit LRT, kontrak penarikan, oracle, dan rsETH itu sendiri. Dua upaya serangan lanjutan (masing-masing sekitar 40.000 rsETH, total sekitar 100 juta dolar) juga dicegah. Tanpa penangguhan ini, kerugian total bisa mendekati 391 juta dolar.

Ini adalah satu-satunya mekanisme yang berfungsi sesuai desain dalam kejadian ini.

Dampak sistemik terhadap tumpukan DeFi

Karena rsETH telah terintegrasi secara mendalam ke seluruh sistem DeFi, sebagai jaminan yang luas digunakan, dampaknya menyebar hampir seketika.

Aave di V3 dan V4 langsung membekukan pasar rsETH. Rasio penggunaan ETH melonjak ke 100%—semua ETH di pool dipinjamkan, pengguna tidak bisa menarik aset. Kepanikan menyebar cepat, lebih dari 5,4 miliar dolar ETH ditarik dari protokol. Transaksi tunggal Justin Sun menarik sekitar 154 juta dolar. TVL Aave dalam beberapa jam menguap 6,6 miliar dolar.

SparkLend dan Fluid juga membekukan pasar rsETH mereka. SparkLend menyatakan tidak memiliki eksposur risiko langsung, karena strategi pengelolaan risiko yang lebih konservatif.

Lido Finance menghentikan sementara deposit produk earnETH (yang melibatkan risiko rsETH), tetapi protokol utama dan stETH tetap aman.

Ethena, demi pencegahan, menghentikan sementara jembatan lintas rantai OFT berbasis LayerZero (meskipun mereka tidak memegang rsETH, dan rasio jaminan tetap di atas 101%). Langkah ini menunjukkan bahwa kepanikan sudah melampaui aset tertentu, dan beralih ke level sistem.

Upshift menghentikan akses ke vault High Growth ETH dan Kelp Gain.

Analis on-chain 0xngmi merangkum skala dampak sistemik: dana menarik diri “bahkan sampai mempengaruhi Solana dan protokol lain yang tidak terkena—kepanikan pasar sudah tidak lagi hanya terhadap rsETH, tetapi terhadap kepercayaan seluruh tumpukan DeFi.”

Kelemahan struktural yang terungkap

Serangan ini tidak bergantung pada peretasan algoritma enkripsi maupun reverse engineering kontrak pintar. Ia memanfaatkan kesalahan keputusan konfigurasi di tingkat pengaturan.

Arsitektur LayerZero secara esensial bersifat modular—setiap protokol bisa memilih parameter keamanan sendiri. Fleksibilitas ini memang keunggulan teknologi, tapi juga berarti sistem tidak memiliki ambang keamanan minimum.

Sebuah protokol bisa saja hanya mengatur satu node verifikasi, dan sistem tetap berjalan. Tidak ada alarm, tidak ada peringatan risiko. Sampai suatu saat, 292 juta dolar langsung berpindah tangan.

Ini bukan hanya masalah LayerZero, tapi juga masalah filosofi desain DeFi secara keseluruhan: menganggap “komposabilitas” dan “tanpa izin” bisa menggantikan standar keamanan yang ketat.

DeFi membangun sistem keuangan seperti Lego yang bisa disusun sesuka hati, tanpa adanya batasan struktural seperti di keuangan tradisional.

Di bank, kamu mengandalkan mekanisme keamanan yang diatur dan distandarisasi; di DeFi, kamu sebenarnya mempercayai:

· Keputusan konfigurasi setiap insinyur

· Setiap jalur integrasi

· Logika eksekusi di setiap rantai

Kepercayaan ini bersifat “implisit, tersebar, dan tidak dapat diverifikasi”.

LRT: Memperbesar risiko melalui struktur

Token staking likuid (LRT) memperbesar masalah ini. rsETH bukan sekadar token, melainkan bukti penarikan dari “cadangan utama”, yang kemudian diduplikasi ke lebih dari 20 rantai. Ketika cadangan ini dikuras, semua “permintaan penarikan” di berbagai rantai menjadi tidak terpercaya.

Kelebihan rsETH sebagai jaminan berkualitas tinggi—yaitu “komposabilitas”—juga menjadi faktor risiko sistemik saat gagal.

Apa yang akan terjadi selanjutnya

Dana saat ini bisa dianggap sudah tidak bisa dipulihkan. Penyerang memiliki perencanaan matang dan menggunakan Tornado Cash untuk mencampur dana. Diperkirakan Kelp akan mengeluarkan pesan di chain dan menawarkan bounty untuk white-hat (umum dilakukan, tapi peluang keberhasilannya kecil). Detektif on-chain ZachXBT telah mengidentifikasi 6 dompet serangan, analis terus memantau, tetapi pelaku serangan skala ini biasanya memiliki jalur transfer dana yang matang.

Masalah paling mendesak saat ini adalah bagaimana menangani piutang buruk di Aave. Ada tiga kemungkinan:

1. Modul keamanan (Umbrella) menanggung kerugian, protokol pulih dalam beberapa hari

2. Melalui voting governance, kerugian dibagi di antara pemegang token (sakit, tapi bisa ditanggung)

3. Pembekuan jangka panjang yang menyebabkan kepercayaan runtuh, pemulihan bertahun-tahun

Dalam 72 jam ke depan, komunikasi dari Aave akan menentukan ekspektasi pasar.

Kelp DAO kemungkinan besar akan tetap ada dalam sistem KernelDAO dengan skala yang lebih kecil, tetapi posisi rsETH sebagai aset jaminan utama sudah berakhir. Ini adalah insiden besar kedua dalam 12 bulan terakhir, dan kepercayaan sulit dipulihkan.

LayerZero juga akan dipaksa melakukan penyesuaian. Laporan evaluasi kemungkinan akan menegaskan konsensus komunitas: perlunya menetapkan standar minimum DVN. Meski secara resmi mungkin hanya sebagai “saran”, tekanan pasar akan mendorong penerapan yang bersifat de facto.

Protokol pinjam-meminjam akan melakukan penyesuaian ulang terhadap semua jaminan LRT, termasuk rsETH, ezETH, weETH, pufETH, dengan:

· Rasio jaminan (LTV) yang lebih rendah

· Batas pasokan yang lebih ketat

· Penilaian risiko yang lebih rinci

Era di mana rsETH dianggap setara dengan stETH sudah berakhir.

Regulator tidak akan mengabaikan kejadian ini. Dua serangan besar di bulan yang sama—Drift Protocol (1 April) dan Kelp (18 April)—memberikan dasar yang cukup untuk mendorong standar keamanan wajib di DeFi.

Diperkirakan, sebelum kuartal kedua berakhir, kedua insiden ini akan menjadi bahan dengar di Kongres AS dan konsultasi teknis MiCA di UE, menjadi kasus penting dalam diskusi regulasi.

Kesimpulan

292 juta dolar AS telah hilang. “Lemari pakaian” ini hanya dijaga satu petugas keamanan, menyimpan hampir seperlima dari “jaket” yang ada. Ketika petugas ini diretas, penyerang bahkan tidak perlu membuka kunci atau merusak brankas—cukup “berbicara sopan”, dan mereka langsung dilepaskan.

Respons industri selanjutnya akan menentukan apakah kejadian ini menjadi titik balik nyata, atau sekadar catatan atas bencana yang sebenarnya bisa dihindari. Perbaikan teknis sebenarnya tidak rumit—menambah DVN, menetapkan standar keamanan minimum, mengatur parameter jaminan LRT yang lebih konservatif. Tapi bagian tersulit adalah mengakui bahwa “tanpa izin” dan “tanpa kepercayaan” tidak otomatis berarti “aman”.

Janji DeFi sejak awal adalah membangun infrastruktur yang lebih transparan dan akuntabel daripada keuangan tradisional. Tapi janji ini hanya kredibel jika sistem itu sendiri juga lebih aman. Analogi lemari pakaian ini berlaku karena saat kamu mengambil jaket, jaket itu memang masih ada di sana.

[Link asli]

Klik untuk mengetahui lebih lanjut tentang posisi BlockBeats yang sedang dibuka

Selamat bergabung di komunitas resmi BlockBeats:

Telegram Berlangganan: https://t.me/theblockbeats

Telegram Grup Diskusi: https://t.me/BlockBeats_App

Akun resmi Twitter: https://twitter.com/BlockBeatsAsia