Baru saja saya memahami apa yang terjadi dengan Kelp DAO seminggu yang lalu, dan jujur saja, ini adalah salah satu kisah DeFi paling brutal sepanjang tahun 2026. Dalam 46 menit, ekosistem menghilang sebesar 293 juta dolar. Bukan kesalahan kode, bukan kerentanan kontrak pintar — ini adalah kesalahan konfigurasi biasa yang menjadi krisis sistemik.

Inilah yang terjadi: penyerang menggunakan jembatan lintas rantai Kelp di LayerZero dengan konfigurasi DVN 1 dari 1. Pada dasarnya, seluruh validasi pesan antar rantai bergantung pada satu node. Dengan mengompromikan atau menipu node ini, penyerang mengirim pesan palsu yang diklaim sebagai konfirmasi penguncian aset. Jembatan mengeluarkan 116.500 rsETH (sekitar 18% dari total pasokan beredar) ke alamat penyerang — tanpa mengunci ETH asli di rantai sumber. Token tersebut benar-benar dibuat dari udara.

Selanjutnya, situasinya semakin buruk. Alih-alih menjual token di pasar, penyerang menyetor rsETH yang tidak didukung ke Aave V3 sebagai jaminan, meminjam 236 juta dolar WETH nyata, lalu mengulangi manuver di Aave V4. Pada saat Kelp DAO membekukan kontrak (18:21 UTC), aset nyata sudah mulai hilang. Dua upaya untuk mengeluarkan lagi 100 juta dolar — keduanya diblokir, tetapi serangan pertama sudah memicu efek berantai di DeFi.

Aave terjebak. Ketika Kelp menghentikan rsETH, semua posisi pinjaman yang dijamin oleh aset ini menjadi tidak dapat dilikuidasi. Aave tersisa dengan utang tak tertolong sebesar 196 juta dolar. Kolam WETH mencapai 100% penggunaan — beberapa pengguna sementara tidak bisa menarik dana mereka. Kepanikan menyebar dengan cepat: penarikan dana dari Aave mencapai 5,4 miliar dolar dalam beberapa jam. TVL turun dari lebih dari 26 miliar menjadi 22 miliar — kehilangan 6,6 miliar dalam sehari. Token AAVE turun 20% dalam 24 jam (sekarang diperdagangkan sekitar $95,54).

Yang paling menakutkan — ini bukan kesalahan LayerZero. Ini adalah pilihan Kelp DAO untuk menggunakan konfigurasi terpusat yang diizinkan protokol, tetapi yang menciptakan titik kegagalan tunggal yang berbahaya. Pendiri Curve Finance, Mikhail Egorov, secara langsung mengatakan: ketika Anda mempercayai satu pihak, segala sesuatu mungkin terjadi.

Infeksi menyebar ke setidaknya sembilan platform: SparkLend, Fluid, Lido (menghentikan produk EarnETH-nya), Compound V3, Euler, dan lainnya. Bahkan Ethena sementara menghentikan jembatan LayerZero mereka sebagai langkah pencegahan, meskipun tidak ada dampak langsung.

Uang? Hampir pasti hilang. Penyerang sudah membersihkan dana melalui Tornado Cash, mendistribusikan ETH ke beberapa dompet. Justin Sun dari Tron menawarkan untuk "berbicara" dengan penyerang, tetapi ini tampak seperti sandiwara — jejaknya sudah dingin.

Apa artinya ini bagi industri? rsETH dianggap sebagai aset terpercaya yang berkorelasi dengan ETH. Asumsi implisit: token staking yang likuid sama amannya dengan aset dasar. Asumsi ini runtuh. Kelp DAO tersisa dengan aset yang tidak bisa benar-benar dijual, dan Aave — dengan ETH yang dipinjamkan secara maksimal yang tidak bisa ditarik siapa pun.

Diharapkan industri akan merespons dengan persyaratan wajib untuk DVN ganda untuk jembatan dan standar yang lebih ketat untuk protokol pinjaman. Tetapi sampai saat itu, rsETH di lebih dari 20 rantai tetap dalam keadaan dukungan yang tidak pasti, sampai Kelp merilis verifikasi cadangan yang diverifikasi.

Ini bukan pelanggaran besar pertama tahun ini. Pada Maret, Resolv Labs kehilangan 80 juta, 1 April Drift Protocol kehilangan 285 juta (kemudian terkait aktor Korea Utara). CoW Swap, Zerion, Rhea Finance — semuanya di bulan April. Kerugian total DeFi tahun 2026 sudah melebihi 450 juta dolar dari sekitar 45 protokol. Kepala keamanan Ledger mengatakan ini "kemungkinan besar, tahun terburuk untuk peretasan."

Pelajaran utama bagi investor: komposabilitas DeFi bisa memotong dua arah. Yang membuat ekosistem kuat — saling terhubung — juga menjadikannya saluran tercepat untuk infeksi. Kerentanan di satu protokol menjadi peristiwa sistemik dalam hitungan menit. Jika Anda memegang rsETH atau posisi di protokol pinjaman, pantau pengumuman resmi dengan saksama. Hindari keputusan panik berdasarkan informasi yang tidak lengkap, tetapi jangan abaikan risiko likuiditas bahkan di platform yang "aman".

Ini pengingat keras: di DeFi, kepercayaan bukan hanya teknologi, ini adalah arsitektur. Dan arsitektur Kelp DAO terbukti rentan bukan karena kode, tetapi karena pilihan konfigurasi.