Kelp DAO celah serangan terhadap Aave: kisah di balik kerugian 230 juta dolar AS dan penguapan TVL sebesar 9 miliar dolar

Pada 18 April 2026 UTC pukul 17:35, jembatan lintas rantai rsETH milik Kelp DAO mengalami serangan. Penyerang dalam waktu 46 menit secara tidak sah mencetak sekitar 116.500 rsETH, yang diperkirakan bernilai sekitar 293 juta dolar AS berdasarkan harga pasar saat itu, mewakili sekitar 18% dari total pasokan token tersebut. Akar penyebab langsung secara teknis dari kejadian ini bukanlah cacat pada kode kontrak pintar, melainkan parameter deployment yang diabaikan: Kelp DAO menggunakan konfigurasi DVN (Jaringan Validator Terdesentralisasi) 1/1—yang berarti hanya satu node validator yang diperlukan untuk menyetujui pesan lintas rantai. Penyerang dengan menembus infrastruktur RPC yang bergantung pada node validator tunggal tersebut, memalsukan sebuah pesan lintas rantai yang mengklaim “aset rsETH di rantai sumber telah dikunci,” dan kontrak jembatan Kelp langsung mengeksekusi pelepasan tanpa verifikasi ketat terhadap “sumber rantai.”

Dokumentasi resmi LayerZero secara default merekomendasikan konfigurasi DVN 2/2, yang menggunakan mekanisme redundansi dengan banyak validator. Namun, Kelp DAO menetapkan ambang verifikasi pada tingkat ekstrem “1 dari 1.” Konfigurasi ini menciptakan celah “single point of failure,” sementara alat audit keamanan tradisional—seperti Slither, Mythril, dan lain-lain—lebih fokus pada deteksi kerentanan kode kontrak pintar dan hampir tidak mampu menilai risiko pada parameter konfigurasi. Ini mengungkapkan sebuah masalah struktural: keamanan protokol DeFi tidak hanya bergantung pada kualitas kode, tetapi juga pada tingkat kehati-hatian dalam pengaturan deployment.

Bagaimana Palsu Collateral Menyusup ke Sistem Pinjaman Aave

Setelah penyerang memperoleh rsETH tanpa jaminan nyata ini, mereka tidak langsung menjualnya di pasar sekunder—karena likuiditas rsETH tidak cukup besar dan penjualan besar-besaran akan menyebabkan slippage yang parah—melainkan menggunakan aset “udara” ini sebagai jaminan, disimpan ke dalam protokol pinjaman utama seperti Aave V3, dan meminjam sekitar 236 juta dolar AS dalam bentuk WETH dan ETH yang nyata. Ini adalah titik balik fatal dari serangan: penyerang tidak mencoba menembus kontrak inti Aave, melainkan memanfaatkan komposabilitas antar protokol DeFi, menjadikan celah Kelp DAO sebagai batu loncatan, dan meminjam aset nyata di blockchain dalam sistem Aave, meninggalkan tumpukan jaminan “udara” yang nilainya menjadi nol.

rsETH sebagai token staking likuid, aset dasarnya seharusnya berasal dari cadangan nyata di jembatan lintas rantai. Setelah cadangan di jembatan dikosongkan, nilai rsETH langsung runtuh. Namun, oracle Aave tetap menghitung nilai jaminan berdasarkan harga sebelum serangan, sehingga posisi pinjaman tidak dapat secara efektif dilikuidasi. Tim Aave merespons dengan cepat, secara darurat membekukan pasar rsETH di Ethereum Mainnet dan jaringan layer-2 seperti Arbitrum, Optimism, Base, Mantle, dan Linea, serta mengatur Loan-to-Value (LTV) rsETH menjadi 0, secara teknis memutus jalur pinjaman baru.

Mengapa Rasio Utilisasi Pool Dana Melonjak Hingga 100%

Setelah kejadian, terjadi penarikan besar-besaran di platform Aave. Ketakutan menyebabkan rasio utilisasi pool WETH melonjak ke 100%—yang berarti seluruh likuiditas yang dapat dipinjamkan telah diambil, dan pengguna yang menyimpan dana tidak dapat menarik lagi. Pada saat yang sama, suku bunga tahunan pinjaman USDT sempat melonjak ke 14,99%, dan suku bunga deposito juga melonjak ke 13,39%, menunjukkan volatilitas ekstrem yang mencerminkan ketidakseimbangan mendadak antara penawaran dan permintaan likuiditas.

Inti dari fenomena ini adalah krisis kepercayaan dan krisis likuiditas yang saling memperkuat. Mekanisme suku bunga mampu menanggulangi fluktuasi likuiditas normal, tetapi tidak mampu mengatasi krisis kepercayaan terkait “keaslian” jaminan. Ketika deposan menyadari bahwa jaminan rsETH mungkin tidak dapat ditebus, strategi rasional adalah segera menarik dana mereka. Namun, jika semua orang melakukan hal yang sama, likuiditas pool akan terkuras dalam waktu sangat singkat. Inilah mekanisme di balik pengaruh besar dari celah Kelp—meskipun kontrak inti Aave tidak diserang, keretakan kepercayaan terhadap jaminan di rantai atas langsung menyebar ke likuiditas di rantai bawah.

Logika Penarikan Dana di Balik Penguapan TVL sebesar 9 Miliar Dolar

Dari data, total nilai terkunci (TVL) Aave sebelum kejadian sekitar 264 miliar dolar AS, dan dalam 48 jam setelah serangan turun menjadi sekitar 180 miliar dolar, menguap sekitar 84 miliar dolar, penurunan lebih dari 31%. Pada waktu yang sama, total TVL DeFi di seluruh rantai dari sekitar 99,49 miliar dolar turun ke sekitar 86,29 miliar dolar, mengurangi sekitar 13,2 miliar dolar. Jika termasuk penarikan dana dari mekanisme staking ulang dan strategi penghasilan terkait pasar lainnya, total nilai terkunci di seluruh ekosistem DeFi mendekati penguapan 90 miliar dolar.

Penarikan dana oleh whale besar menjadi pendorong utama penurunan TVL secara drastis. Data on-chain menunjukkan bahwa Abraxas Capital menarik 392 juta dolar, MEXC menarik 431 juta dolar, dan ada whale besar yang secara sekaligus menarik lebih dari 400 juta dolar. Tindakan penarikan besar-besaran ini memiliki logika perlindungan risiko yang jelas: sebelum kejelasan jaminan rsETH, memegang risiko terkait rsETH tidak rasional. Skala dan kecepatan penarikan ini memecahkan rekor dalam sejarah DeFi, menandakan bahwa pasar sedang melakukan penilaian ulang risiko kepercayaan terhadap aset lintas rantai secara ekstrem.

Perbedaan Antara Kerugian Buruk 124 Juta dan 230 Juta Dolar—Dua Rencana Penanganan

Jumlah kerugian pasti tergantung pada keputusan akhir dari tata kelola Aave. Pihak resmi Aave mengutip laporan dari penyedia risiko LlamaRisk, dan mengajukan dua skenario.

Skenario 1 (Kerugian Sosial di Seluruh Rantai): Kerugian dibagi secara proporsional di antara semua pemegang rsETH. LlamaRisk memperkirakan bahwa rsETH akan mengalami sekitar 15% dislokasi sistemik, dan Aave menanggung kerugian sekitar 124 juta dolar AS.

Skenario 2 (Isolasi L2): Kerugian dibatasi di rantai L2 yang berisi rsETH, sementara rsETH di Ethereum utama tetap utuh. Namun, skenario ini justru memperbesar angka kerugian—dengan diskon 73,54% terhadap jaminan lintas rantai, Aave diperkirakan menanggung kerugian sekitar 230,1 juta dolar AS, dengan Mantle menyumbang 71,45% dari kerugian tersebut dan Arbitrum 26,67%.

Perbedaan kedua skenario ini mendekati 100 juta dolar. Secara substantif, ini adalah “politik risiko”: apakah kerugian akan ditanggung bersama oleh seluruh rantai, atau hanya oleh pemilik di rantai tertentu? Saat ini, dana cadangan Aave DAO sekitar 181 juta dolar, dan skenario kedua akan melampaui batas tersebut. Selain itu, cadangan keamanan Umbrella diperkirakan bernilai sekitar 80 juta hingga 100 juta dolar, dan Aave DAO menghasilkan pendapatan sekitar 145 juta dolar pada 2025. Sumber daya ini secara teori dapat menutupi kerugian, tetapi bagaimana menyeimbangkan perlindungan kerugian tanpa merugikan pengguna inti masih menjadi pertimbangan hati-hati dari pengelola.

Dari Kerentanan Titik Tunggal ke Penyebaran Antar Rantai—Bagaimana Risiko Likuidasi Menyebar

Pendiri DeFiLlama, 0xngmi, memetakan tiga jalur tindakan yang mungkin diambil oleh KelpDAO, masing-masing memiliki kekurangan yang jelas.

Jalur 1 (Beban Bersama Masyarakat): KelpDAO memotong 18,5% kerugian secara proporsional dari semua pemegang rsETH. Dengan total sekitar 666.000 rsETH yang dijaminkan di seluruh jaringan, dan asumsi tingkat likuidasi LTV 95%, akan terjadi kerugian sekitar 216 juta dolar AS.

Jalur 2 (Isolasi L2): KelpDAO hanya menjamin rsETH di mainnet, dan menganggap rsETH di L2 tidak berharga. Saat ini, ada sekitar 359 juta dolar rsETH di L2 yang dijaminkan di Aave, dan jika dihitung dengan leverage maksimum, akan menimbulkan kerugian sekitar 341 juta dolar, dan tidak akan bisa dilindungi oleh protokol Umbrella, berpotensi menyebabkan keruntuhan pasar di Arbitrum, Mantle, dan Base.

Jalur 3 (Snapshot Pengembalian): Hanya mengembalikan secara penuh kepada pemegang rsETH sebelum serangan berdasarkan snapshot. Tetapi, karena dana sudah mengalir keluar secara besar-besaran dan sifat protokol DeFi yang berbasis pool likuiditas, sulit membedakan deposit dari batch berbeda secara teknis, sehingga implementasi sangat rumit.

Ketiga jalur ini menunjukkan bahwa penyebaran risiko likuidasi tidak bersifat linier, melainkan menunjukkan “lapisan risiko”—perbedaan besar dalam eksposur risiko antara mainnet dan jaringan layer-2, serta antar L2. Struktur ini membuat distribusi kerugian akhir menjadi sangat tidak pasti.

Pelajaran Struktural—Batas Keaslian dalam Penerimaan Jaminan DeFi

Peristiwa ini memberi dampak paling mendalam bukan pada jumlah kerugian itu sendiri, tetapi pada pengungkapan celah struktural dalam manajemen risiko jaminan. Kontrak inti Aave tidak diserang, tetapi keretakan kepercayaan terhadap keaslian jaminan di hulu langsung menyebar ke sistem pinjaman di hilir. Ini menunjukkan bahwa keamanan protokol DeFi tidak lagi hanya soal “apakah kontrak sendiri bebas dari bug,” tetapi juga “apakah seluruh rantai teknologi dan tata kelola di balik jaminan yang diterima dapat dipercaya.”

Jembatan lintas rantai, mekanisme staking ulang, dan protokol pinjaman yang saling terkait, semuanya membentuk rantai yang rentan: kegagalan satu bagian dapat diperbesar melalui jaminan, dan ketika nilai jaminan tidak lagi mencerminkan aset dasar yang sebenarnya, model risiko protokol beralih dari “risiko volatilitas” ke “risiko keaslian”—yang biasanya tidak terduga dalam pengujian tekanan standar. Aave telah menurunkan LTV rsETH menjadi 0 dan membekukan cadangan WETH di semua pasar yang terdampak, tetapi langkah-langkah ini hanya menahan risiko agar tidak semakin membesar, tidak mampu mengembalikan kerugian yang sudah terjadi.

Ke depan, protokol pinjaman DeFi akan melakukan penilaian ulang secara menyeluruh terhadap standar penerimaan jaminan dari aset lintas rantai dan token staking ulang. Konfigurasi validator tunggal, mekanisme verifikasi pesan lintas rantai, dan mekanisme verifikasi keaslian jaminan akan menjadi fokus utama dalam sistem manajemen risiko.

Kesimpulan

Celahan konfigurasi DVN 1/1 milik Kelp DAO adalah pemicu langsung dari insiden ini, tetapi masalah yang lebih mendasar adalah kekurangan sistemik dalam pengelolaan risiko keaslian jaminan di ekosistem DeFi. Penyerang memanfaatkan pesan lintas rantai palsu, mencetak rsETH senilai sekitar 293 juta dolar AS secara tidak sah, dan menjadikannya jaminan untuk meminjam aset nyata di Aave, sehingga menimbulkan kerugian berkisar antara 124 juta hingga 230 juta dolar AS. TVL menguap sekitar 84 miliar dolar dalam 48 jam, dana di seluruh DeFi keluar sebanyak lebih dari 130 miliar dolar, rasio utilisasi pool melonjak ke 100%, dan mekanisme suku bunga memicu volatilitas ekstrem. Pengelola Aave kini menghadapi dilema distribusi kerugian—bagi seluruh rantai secara bersama atau hanya di L2—setiap opsi memiliki biaya dan kontroversi besar. Peristiwa ini menandai perubahan paradigma dalam manajemen risiko DeFi: keamanan protokol tidak lagi hanya bergantung pada kode, tetapi juga pada keandalan seluruh rantai teknologi dan tata kelola di balik jaminan yang diterima. Konfigurasi validator lintas rantai, mekanisme verifikasi pesan, dan keaslian jaminan akan menjadi fokus utama dalam pengembangan sistem manajemen risiko DeFi ke depan.

FAQ

Q: Apakah kontrak pintar Aave sendiri yang diserang?

A: Tidak. Kerentanan utama terletak pada konfigurasi jembatan lintas rantai Kelp DAO, kontrak inti Aave tidak diserang, ini adalah risiko “kontaminasi hulu.”

Q: Siapa yang akan menanggung kerugian akhir dari kerugian buruk ini?

A: Tergantung pada keputusan tata kelola Aave. Ada dua skenario utama: seluruh pemegang rsETH di seluruh rantai berbagi kerugian (sekitar 124 juta dolar AS) atau hanya di L2 secara terisolasi (sekitar 230 juta dolar AS).

Q: Bagaimana harga token AAVE saat ini?

A: Per 22 April 2026, harga AAVE di platform Gate sekitar 91,16 dolar AS. Sebelum kejadian, harga sekitar 115 dolar, turun lebih dari 20%.

Q: Apa itu konfigurasi DVN? Mengapa konfigurasi 1/1 berisiko?

A: DVN (Jaringan Validator Terdesentralisasi) adalah mekanisme verifikasi pesan di protokol lintas rantai LayerZero. Konfigurasi 1/1 berarti hanya satu validator yang diperlukan, sehingga jika validator tersebut diserang, penyerang dapat memalsukan pesan apa pun.

Q: Apakah aset dasar rsETH saat ini aman?

A: Kelp belum mengumumkan hasil akhir rekonsiliasi cadangan dan jumlah yang belum terbayar. Keberadaan kepercayaan terhadap jaminan rsETH di semua rantai masih tidak pasti, ini adalah alasan utama Aave tidak dapat memulai proses likuidasi.

Q: Dampak jangka panjang kejadian ini terhadap industri DeFi?

A: Kejadian ini mengungkap kekurangan sistemik dalam mekanisme verifikasi keaslian jaminan aset lintas rantai. Di masa depan, standar penerimaan jaminan untuk token lintas rantai dan token staking ulang akan diperketat, dan konfigurasi validator tunggal kemungkinan akan dihapus.