🚨 #KelpDAOBridgeHacked — Bencana DeFi yang Mengguncang Keamanan Cross-Chain ke Intinya

Ekosistem DeFi sekali lagi diguncang oleh pelanggaran keamanan berdampak tinggi, saat infrastruktur jembatan lintas rantai KelpDAO dieksploitasi dalam salah satu serangan paling parah tahun 2026, mengakibatkan kehilangan sekitar 116.500 token rsETH bernilai hampir $292–$300M juta.

Insiden ini dengan cepat menjadi salah satu momen penentu dalam sejarah keamanan keuangan terdesentralisasi, tidak hanya karena skala nya tetapi juga karena apa yang diungkapkan tentang fondasi rapuh interoperabilitas lintas rantai.

Berbeda dari bug kontrak pintar yang terisolasi, eksploit ini mengungkap kelemahan struktural yang lebih dalam dalam cara sistem DeFi modern memvalidasi dan mentransmisikan nilai antar blockchain.

---

🔍 Anatomi Eksploit — Bagaimana Serangan Terjadi

Pelanggaran menargetkan arsitektur jembatan lintas rantai KelpDAO, khususnya jalur transfer rsETH yang menghubungkan Unichain dan Ethereum mainnet. Pada inti sistem adalah ketergantungan pada standar pesan OFT LayerZero, yang dirancang untuk memungkinkan interoperabilitas tanpa hambatan antar rantai.

Namun, di balik desain yang tampaknya kokoh ini tersembunyi sebuah cacat kritis: konfigurasi Jaringan Verifikasi Terdesentralisasi 1-dari-1 $294 DVN(.

Ini berarti:

> Sebuah node verifikasi tunggal memiliki otoritas penuh untuk menyetujui atau menolak pesan lintas rantai.

Dalam praktiknya, ini menciptakan titik sumbat terpusat yang disamarkan sebagai desentralisasi.

---

⚡ Fase 1: Menargetkan Infrastruktur

Penyerang mulai dengan mengidentifikasi titik lemah di infrastruktur off-chain:

Mengompromikan beberapa node RPC yang memberi data ke sistem

Menyisipkan skrip berbahaya untuk memanipulasi validasi pesan

Melakukan gangguan terarah terhadap endpoint RPC yang sehat

Ini memaksa sistem ke mode menurun di mana hanya aliran data yang terkompromi yang tetap aktif.

---

⚡ Fase 2: Manipulasi Data & Penangkapan Verifikasi

Setelah kendali atas input data diperoleh, penyerang menciptakan lingkungan konsensus palsu:

Memalsukan pesan transaksi lintas rantai

Menyisipkan permintaan transfer “valid” palsu

Memberi data yang rusak langsung ke node verifikasi tunggal

Tanpa lapisan verifikasi redundan, sistem secara efektif mulai mempercayai input yang dikendalikan penyerang sebagai komunikasi blockchain yang sah.

---

⚡ Fase 3: Eksekusi Panggilan Lintas Rantai Palsu

Verifikator yang dikompromi menyetujui panggilan lzReceive)( berbahaya pada kontrak EndpointV2 LayerZero.

Ini menghasilkan:

Pencetakan 116.500 token rsETH yang tidak didukung

Rilis langsung aset ke dompet yang dikendalikan penyerang

Tidak ada verifikasi jaminan kolateral yang dipicu

Pada tahap ini, jembatan secara efektif telah dipermainkan untuk menciptakan nilai dari udara.

---

⚡ Fase 4: Menutup Jejak

Setelah eksekusi:

Komponen malware menghapus diri sendiri

Log sebagian dihapus atau rusak

Vektor serangan menjadi lebih sulit direkonstruksi secara real-time

Penyerang memastikan penundaan maksimal dalam pelacakan forensik sebelum memindahkan dana antar rantai.

---

💰 Pergerakan Pasca-Eksploitasi — Pencucian Multi-Rantai Cepat

Dalam hitungan menit setelah eksploit, penyerang mulai strategi penyebaran likuiditas agresif.

RsETH yang dicuri:

Didepositokan ke platform pinjaman DeFi utama

Digunakan sebagai jaminan di berbagai protokol

Dimanfaatkan untuk meminjam lebih dari )juta dalam WETH

📊 Paparan Protokol Utama:

Aave V3 & V4

Compound V3

Euler Finance

SparkLend

Fluid

Upshift

Strateginya jelas:

> Mengubah aset curian sintetis menjadi ETH nyata dan cair sebelum pertahanan dapat merespons.

---

🔄 Distribusi Lintas Rantai

Dana kemudian dengan cepat dipindahkan dan dibagi di berbagai ekosistem:

Ethereum mainnet $236 ~(diubah$178M

Arbitrum )~(dipindahkan$72M

Distribusi fragmentasi tambahan di Base, Linea, Blast, dan jaringan L2 lainnya

Ini menciptakan skenario kontaminasi multi-rantai, di mana likuiditas yang dicuri menjadi sulit diisolasi atau dibekukan.

---

⚠️ Guncangan Sistemik — Efek Riple di Seluruh DeFi

Dampak langsung tidak terbatas hanya pada KelpDAO. Sebaliknya, seluruh ekosistem DeFi mengalami tekanan likuiditas yang sinkron.

---

📉 Kolaps Total Nilai Terkunci

Dalam 48 jam:

TVL DeFi turun sebesar $13–)miliar

Pasar pinjaman mengalami penarikan tajam

Penyedia likuiditas mulai mengurangi risiko di berbagai protokol

---

🏦 Kejutan Pasar Pinjaman

Aave mengalami salah satu peristiwa likuiditas terbesar:

$6–$8,45 miliar dana ditarik

Pasar rsETH dibekukan di V3 dan V4

Ketidakseimbangan likuiditas sementara di kolam jaminan

Platform lain dengan cepat mengikuti:

SparkLend menghentikan operasi

Fluid dan Euler membatasi eksposur

Upshift menangguhkan aktivitas pinjaman baru

---

🧊 Pembekuan Sentimen Pasar

Dampak psikologis langsung terasa:

Ketakutan terhadap jembatan lintas rantai meningkat

Modal institusional mengurangi eksposur terhadap derivatif LST

Pedagang ritel beralih ke kepemilikan stablecoin

Model risiko di seluruh protokol diubah secara mendadak semalam

---

🛡️ Respon Darurat — Pertahanan Cepat tapi Reaktif

KelpDAO merespons dalam hitungan menit, tetapi kerusakan sudah menyebar.

⏱️ Timeline Respon:

18:21 UTC — Kontrak inti dihentikan melalui multisig

~46 menit setelah deteksi awal exploit

Upaya serangan tambahan diblokir $14 ~80.000 rsETH gabungan(

Sementara itu:

Aave membekukan pasar yang terdampak

Lido menghentikan deposit earnETH

Ethena sementara menangguhkan operasi jembatan LayerZero

Meskipun penahanan sebagian berhasil, fase ekstraksi nilai awal sudah selesai.

---

⚖️ Konflik Atribusi — Siapa yang Bertanggung Jawab?

Setelah kejadian, cepat berkembang menjadi sengketa saling menyalahkan antara KelpDAO dan LayerZero.

🧩 Posisi KelpDAO:

Mengklaim konfigurasi DVN default tidak aman

Berargumen dokumentasi meremehkan risiko dunia nyata

Menyarankan cacat desain infrastruktur dalam model verifikasi

🧩 Posisi LayerZero:

Menegaskan KelpDAO mengkustomisasi pengaturan keamanan secara tidak tepat

Menekankan penyimpangan dari standar desentralisasi yang direkomendasikan

Menyoroti tanggung jawab pengguna dalam pilihan konfigurasi

---

🕵️‍♂️ Atribusi Aktor Ancaman

LayerZero dan analis independen mengaitkan serangan ke:

> Kelompok Lazarus )operasi siber terkait Korea Utara(

Indikator pendukung meliputi:

Pendanaan Tornado Cash sebelum eksekusi

Polanya pencucian uang yang dikenal sesuai dengan eksploit sebelumnya

Teknik obfuscation lintas rantai yang digunakan dalam kampanye sebelumnya

Namun, atribusi lengkap masih dalam penyelidikan.

---

🧠 Kegagalan Struktural — Apa yang Sebenarnya Diungkap oleh Hack Ini

Selain kerusakan finansial, insiden ini menyoroti masalah arsitektur yang lebih dalam di DeFi:

🔴 Masalah Desentralisasi Palsu

Banyak sistem yang diberi label “desentralisasi” tetap bergantung pada:

Node verifikasi tunggal

Mekanisme cadangan terpusat

Redundansi lemah dalam validasi pesan

Ini menciptakan titik kegagalan pusat tersembunyi.

---

🔴 Risiko Kompleksitas Lintas Rantai

Seiring DeFi menjadi multi-rantai:

Luas serangan membesar secara eksponensial

Verifikasi menjadi lebih sulit untuk distandarisasi

Asumsi keamanan pecah di bawah tekanan dunia nyata

---

🔴 Kontaminasi Komposabilitas

Karena protokol DeFi sangat saling terkait:

Satu aset yang dieksploitasi menjadi jaminan di tempat lain

Piutang buruk menyebar di berbagai platform

Risiko menjadi sistemik, bukan terisolasi

---

📊 Konsekuensi Industri Lebih Luas

Eksploitasi KelpDAO sudah mengubah diskusi keamanan DeFi.

Perubahan Industri yang Diharapkan:

Desain jembatan multi-verifier wajib

Adopsi lapisan validasi multi-sig yang meningkat

Sistem pemantauan real-time yang lebih kuat

Pengurangan ketergantungan pada asumsi kepercayaan rantai tunggal

---

🔐 Evolusi Audit Keamanan

Audit sekarang diharapkan meluas melampaui:

Tinjauan kode kontrak pintar

Dan termasuk simulasi infrastruktur lintas rantai secara lengkap

---

🔮 Pandangan Jangka Panjang — Masa Depan Keamanan Lintas Rantai

Insiden ini kemungkinan akan menjadi titik balik dalam desain arsitektur DeFi.

Arah Masa Depan yang Mungkin:

Sistem verifikasi multi-node yang sepenuhnya terdesentralisasi

Lapisan pesan lintas rantai tanpa kepercayaan

Model validasi jembatan berbasis bukti di atas rantai

Pengurangan ketergantungan pada agregasi RPC off-chain

Namun, perbaikan ini akan membutuhkan waktu, modal, dan koordinasi antar ekosistem.

---

🚨 Wawasan Akhir — Peringatan Sistemik untuk DeFi

)Peristiwa ini bukan sekadar peretasan—ini adalah kegagalan uji stres struktural dari keuangan lintas rantai itu sendiri.

Ini menunjukkan bahwa:

Keamanan hanya sekuat lapisan verifikasi terlemah

“Desentralisasi” tidak selalu berarti “risiko tersebar tanpa batas”

Komposabilitas dapat memperkuat inovasi sekaligus kolaps sistemik

---

🧭 Perspektif Penutup

Dalam dunia keuangan terdesentralisasi yang terus berkembang, risiko terbesar bukan lagi bug kontrak pintar yang terisolasi—melainkan asumsi arsitektur yang gagal di bawah kondisi adversarial.

Eksploit KelpDAO kemungkinan akan dipelajari bukan hanya sebagai pelanggaran keamanan, tetapi sebagai studi kasus penentu tentang bagaimana ekosistem lintas rantai bisa runtuh ketika kepercayaan terkonsentrasi di lapisan infrastruktur tersembunyi.

Dan dalam DeFi, seperti yang ditunjukkan oleh peristiwa ini:

> Jembatan sering kali lebih rapuh daripada rantai yang dihubungkannya.