KelpDAO dibobol mengingatkan kita akan bahaya keamanan DeFi Apa pelajaran yang dapat kita ambil

Shaw.ai, Keuangan Emas

18 April, dunia cryptocurrency menyambut kejadian keamanan DeFi paling serius sejak 2026 — serangan hacker terhadap jembatan lintas rantai rsETH KelpDAO, dalam beberapa jam saja sekitar 116.500 rsETH dicuri, dengan nilai mencapai 290 juta dolar AS berdasarkan harga saat itu, setara dengan 18% dari total pasokan rsETH. Serangan ini tidak hanya membuat KelpDAO berada dalam krisis, tetapi juga memicu kepanikan likuiditas di seluruh industri DeFi, bahkan platform pinjaman terkemuka Aave langsung terlibat, dengan lebih dari 9 miliar dolar AS dana diserbu keluar secara darurat, layaknya sebuah “bencana keuangan” berskala besar.

Banyak orang mungkin asing dengan kata-kata seperti “jembatan lintas rantai”, “rsETH”, “penarikan likuiditas”, jangan khawatir, kita gunakan bahasa yang paling sederhana, langkah demi langkah mengulas proses serangan hacker ini, lalu bahas perkembangan terbaru dan pertanyaan yang paling banyak ditanyakan.

一、Pahami 3 konsep kunci, agar mudah mengerti kejadian

Sebelum membahas proses serangan, terlebih dahulu klarifikasi 3 istilah inti, agar tidak bingung:

• rsETH: Singkatnya adalah “token derivatif ETH”. Kita tahu ETH (Ethereum) bisa “dipertaruhkan” untuk mendapatkan bunga, tetapi setelah dipertaruhkan dana akan terkunci dan tidak bisa digunakan kapan saja. rsETH adalah token yang “mengemas” ETH yang dipertaruhkan, memegang rsETH sama dengan memegang hak atas ETH yang dipertaruhkan tersebut, bisa mendapatkan bunga, sekaligus bisa diperdagangkan dan dipertaruhkan kapan saja, seperti “kupon tukar ETH yang dipertaruhkan”.

• Jembatan lintas rantai: Berbeda blockchain (misalnya Ethereum, BSC) seperti “bank” yang berbeda, dan jembatan lintas rantai adalah “saluran transfer” yang menghubungkan “bank” ini, memungkinkan token seperti rsETH berpindah antar blockchain. Serangan kali ini menargetkan jembatan lintas rantai rsETH yang dibangun di platform LayerZero oleh KelpDAO.

• LayerZero DVN Module: Bisa dipahami sebagai “petugas pemeriksa keamanan” jembatan lintas rantai, bertugas memverifikasi keaslian transaksi lintas rantai — misalnya memastikan kamu benar-benar mengirim token di rantai A sebelum token yang sesuai diterbitkan di rantai B. Biasanya, untuk keamanan, akan ada beberapa “petugas pemeriksa” (validator ganda), tetapi KelpDAO hanya mengatur 1 “petugas pemeriksa” (validator tunggal), ini memberi celah bagi hacker.

二、Proses serangan hacker: 3 langkah curi 290 juta dolar, layaknya “contoh buku pelajaran”

Serangan hacker kali ini sangat tersembunyi dan efisien, seluruh proses inti selesai dalam kurang dari 1 jam, langkahnya jelas, sangat terfokus, secara rinci terbagi menjadi 3 langkah:

Langkah pertama: Celah keamanan, “buat uang dari udara”

Hacker secara tepat menemukan celah fatal di jembatan lintas rantai KelpDAO — bergantung pada satu validator LayerZero DVN. Biasanya, pembuatan rsETH lintas rantai membutuhkan ETH yang dipertaruhkan sebagai dukungan, tetapi hacker menggunakan teknik memalsukan pesan verifikasi transaksi lintas rantai, menipu “petugas pemeriksa” tunggal ini.

Lebih spesifik, hacker sebelumnya telah membobol RPC node yang bergantung pada LayerZero DVN, mengganti program operasinya, dan melalui serangan DDoS menonaktifkan node normal, memaksa “petugas pemeriksa” hanya bergantung pada node yang telah diubah. Dengan cara ini, hacker berhasil “menciptakan” 116.500 rsETH palsu tanpa jaminan nyata di jaringan utama Ethereum, layaknya memegang “kupon tukar ETH yang dipertaruhkan palsu”, menipu semua orang.

Langkah kedua: pinjam meminjam, “mengubah palsu jadi nyata”

Setelah memiliki “rsETH palsu” ini, hacker tidak langsung menjualnya (takut ketahuan), melainkan memilih cara yang lebih tersembunyi untuk mendapatkan uang — meminjam di platform pinjaman utama. Mereka menaruh rsETH palsu ini di protokol pinjaman seperti Aave, Compound, dan 8 lainnya, terutama di Aave v3, sebagai jaminan, lalu meminjam sejumlah besar WETH (token yang dibungkus dari ETH, nilainya sama dengan ETH), layaknya meminjam uang asli dengan “koin palsu”.

Langkah ketiga: menimbulkan kepanikan, penarikan likuiditas besar-besaran

Operasi hacker sangat cepat, banyak rsETH palsu dijaminkan, banyak WETH dipinjamkan, langsung menyebabkan pasar WETH di Aave v3 kehabisan likuiditas, tingkat penggunaan melonjak ke 100% — artinya, WETH di Aave habis dipinjam semua, pengguna normal tidak bisa menarik dana.

Setelah berita menyebar, pasar langsung panik: khawatir Aave akan mengalami kerugian besar akibat “jaminan palsu”, dana mereka tidak aman. Maka, terjadi penarikan besar-besaran likuiditas — tidak hanya pasar WETH, tetapi juga pasar stablecoin seperti USDC, USDT, tingkat penggunaan melonjak, investor panik menarik dana dari Aave, dalam 48 jam lebih dari 9 miliar dolar AS dana ditarik keluar, total dana di industri DeFi menyusut 13,2 miliar dolar AS.

Perlu dicatat, sekitar 46 menit setelah serangan, KelpDAO mendeteksi adanya anomali, segera menghentikan fungsi kontrak terkait rsETH, mencegah serangan lebih lanjut, jika tidak kerugiannya bisa lebih besar. Serangan ini juga diduga dilakukan oleh kelompok Lazarus dari Korea Utara, dengan jejak operasi yang sangat profesional.

三、Perkembangan terbaru: berbagai pihak segera melakukan langkah darurat, masalah kerugian belum terselesaikan

Setelah serangan, KelpDAO, LayerZero, Aave dan pihak terkait segera bertindak, hingga 23 April, perkembangan terbaru sebagai berikut:

1. KelpDAO: Segera menghentikan kontrak terkait rsETH di mainnet dan beberapa chain L2, bekerja sama dengan LayerZero, auditor, dan pakar keamanan melakukan investigasi menyeluruh, saat ini masih mengumpulkan detail kerugian dan mencari solusi penanganan kerugian.

2. LayerZero: Menegaskan bahwa serangan ini bukan karena celah di protokol mereka, melainkan karena konfigurasi “validator tunggal” yang dipakai KelpDAO. LayerZero sudah membuang RPC node yang terdampak, menggantinya dengan node baru, dan meminta semua proyek yang masih memakai validator tunggal untuk segera upgrade ke validator ganda, serta bekerja sama dengan aparat penegak hukum global untuk melacak dana hacker.

3. Aave: Segera membekukan pasar jaminan rsETH, mencegah kerugian bertambah besar. Pada 21 April, Aave mengumumkan bahwa cadangan WETH di pasar Ethereum Core V3 sudah dibuka kembali, pengguna bisa kembali menyetor WETH, tetapi nilai pinjaman terhadap WETH (LTV) masih 0 (sementara tidak bisa meminjam dengan WETH sebagai jaminan); cadangan WETH di jaringan lain seperti Ethereum Prime, Arbitrum tetap dibekukan, dan akan secara bertahap dipulihkan.

4. Dampak industri: Insiden ini memicu refleksi seluruh industri tentang keamanan jembatan lintas rantai dan risiko token staking ulang (LRT). Banyak protokol pinjaman mulai memperketat syarat jaminan, menghapus token LRT yang jarang digunakan, untuk mencegah kejadian serupa. Selain itu, banyak lembaga keamanan crypto mengeluarkan panduan keamanan jembatan lintas rantai, menyarankan proyek melakukan pemeriksaan menyeluruh terhadap “verifikasi titik tunggal”, “keamanan node”, dan potensi risiko lain. Beberapa proyek lintas rantai terkemuka sudah mulai melakukan peningkatan keamanan, menambah validator ganda, dan mengoptimalkan perlindungan node RPC untuk mencegah serangan DDoS dan manipulasi node.

5. Rincian pelacakan dana hacker: Hingga 23 April, data on-chain menunjukkan dari 116.500 rsETH yang dicuri, sekitar 30% sudah ditukar menjadi WETH dan USDC, sebagian dipindahkan melalui DEX, sekitar 20% lainnya dipindahkan ke dompet privasi, menambah kesulitan pelacakan. Namun, lembaga keamanan sudah mengunci beberapa alamat terkait hacker, menemukan sebagian dana mengalir ke bursa terregulasi, dan sedang bekerja sama dengan bursa untuk membekukan dan menyelidiki lebih lanjut, serta akan terus mengumumkan perkembangan pelacakan.

6. Dukungan pengguna dan kompensasi: Dalam pengumuman komunitas 22 April, KelpDAO menyatakan akan memprioritaskan perlindungan hak pengguna biasa, sedang mengumpulkan daftar pemilik rsETH dan kerugiannya, berencana memberi kompensasi sebagian melalui “subsidi kas komunitas + asuransi pihak ketiga”, tetapi detail persentase dan waktu pembayaran belum pasti, menunggu audit selesai. Aave menegaskan bahwa kerugian akibat insiden ini tidak akan ditanggung oleh pengguna biasa, melainkan akan diselesaikan melalui dana cadangan risiko platform dan tanggung jawab pihak terkait.

四、Pertanyaan utama yang paling banyak ditanyakan, dijawab sekaligus

Setelah kejadian, banyak investor dan pengguna crypto yang punya pertanyaan, berikut lima pertanyaan paling umum dan jawaban sederhananya:

1. Mengapa hacker bisa berhasil? Apa penyebab utamanya?

Penyebab utama adalah “kesalahan pengaturan keamanan” KelpDAO — menyerahkan keamanan jembatan lintas rantai sepenuhnya kepada “petugas pemeriksa” tunggal (validator tunggal). LayerZero sudah mengingatkan bahwa konfigurasi ini sangat berisiko, tetapi KelpDAO tidak mengindahkan. Hacker memanfaatkan celah ini dengan memanipulasi node dan memalsukan pesan verifikasi, sehingga berhasil “menciptakan token tanpa jaminan”, inti dari insiden ini adalah “kepercayaan titik tunggal” yang menyebabkan kerentanan keamanan, bukan karena bug kode.

2. Apakah uang 290 juta dolar yang dicuri bisa dikembalikan?

Sangat sulit, tetapi tidak sepenuhnya mustahil. Saat ini, LayerZero dan lembaga terkait bekerja sama dengan aparat penegak hukum untuk melacak dana hacker. Meskipun hacker menggunakan alat privasi untuk menyamarkan asal-usul dana, jejak transaksi di blockchain tidak bisa sepenuhnya dihapus. Mengingat keahlian hacker (diduga dari kelompok APT), dan sebagian dana mungkin sudah dipindahkan ke tempat lain, jumlah yang bisa dikembalikan masih belum pasti.

3. Apakah dana pengguna biasa akan terpengaruh?

Dua skenario: ① Jika kamu hanya menyimpan dana di platform seperti Aave tanpa menjaminkan rsETH, dana saat ini aman, karena Aave sudah melakukan pembekuan dan akan secara bertahap normal kembali; ② Jika kamu memegang rsETH atau menggunakannya sebagai jaminan, mungkin akan mengalami kerugian, tergantung solusi penanganan kerugian dari KelpDAO ke depan.

4. Apa bedanya serangan jembatan lintas rantai ini dengan yang sebelumnya?

Perbedaannya adalah “reaksi berantai sangat kuat”. Serangan sebelumnya biasanya hanya mempengaruhi satu proyek, tetapi kali ini karena rsETH digunakan sebagai jaminan di banyak protokol pinjaman utama, operasi hacker langsung memicu penarikan likuiditas besar-besaran di seluruh industri, jangkauannya lebih luas dan dampaknya terhadap kepercayaan industri lebih besar. Selain itu, serangan ini merupakan kombinasi “kesalahan konfigurasi + serangan infrastruktur”, bukan sekadar pencurian kunci pribadi atau bug kode.

5. Bagaimana masa depan industri DeFi setelah kejadian ini?

Perubahan paling langsung adalah “peningkatan keamanan konfigurasi” — kemungkinan besar jembatan lintas rantai akan mewajibkan “validator ganda” untuk menghindari kegagalan titik tunggal; protokol pinjaman akan memperketat pemeriksaan jaminan, dan penerimaan token derivatif seperti LRT akan lebih selektif. Selain itu, industri mungkin akan mendorong “mekanisme otomatis penghentian darurat” di blockchain, yang secara otomatis akan menangguhkan operasi saat terjadi transaksi abnormal, untuk mencegah kerugian lebih besar, menjadikan manajemen risiko DeFi lebih matang.

五、Kesimpulan: Sebuah alarm keras bagi seluruh industri

Serangan hacker sebesar 290 juta dolar ini pada dasarnya adalah tragedi akibat “keberuntungan semu” dan “kelalaian keamanan” — KelpDAO mengabaikan saran keamanan LayerZero, memakai konfigurasi risiko tinggi validator tunggal, akhirnya memberi peluang bagi hacker. Reaksi berantai dari kejadian ini juga mengungkap kerentanan struktur “lego” di DeFi: satu bagian bermasalah bisa mempengaruhi seluruh industri.

Bagi pengguna biasa, ini juga menjadi pengingat penting: investasi di crypto memang berisiko, saat memilih proyek, tidak hanya melihat potensi keuntungan, tetapi juga memperhatikan pengaturan keamanan dan manajemen risiko mereka, agar dana tidak mudah hilang karena kelalaian pihak pengelola.

Saat ini, proses penanganan masih berlangsung, bagaimana kerugian dibagi, bagaimana keamanan jembatan lintas rantai ditingkatkan, dan skema kompensasi pengguna akan menjadi fokus industri. Selain itu, insiden ini juga mendorong perhatian regulator, beberapa negara sudah menyatakan akan mempercepat pembuatan regulasi keamanan jembatan lintas rantai dan pengaturan penerbitan serta peredaran token staking ulang, untuk mencegah risiko sistemik. Kami akan terus memantau perkembangan dan menyajikan berita terbaru.