#KelpDAOBridgeHacked

**Eksploit Jembatan KelpDAO: Analisis Lengkap dari Peretasan DeFi $292 Juta**

Pada 18 April 2026, ekosistem keuangan terdesentralisasi menyaksikan salah satu pelanggaran keamanan terbesar ketika jembatan rsETH yang didukung LayerZero milik KelpDAO dieksploitasi, mengakibatkan kerugian sekitar $292 juta. Insiden ini telah mengguncang lanskap DeFi, memicu serangkaian respons darurat di berbagai protokol pinjaman dan mengungkap kerentanan kritis dalam infrastruktur jembatan lintas rantai.

**Mekanisme Eksploitasi**

Sekitar pukul 17:35 UTC pada 18 April, seorang penyerang melakukan eksploitasi canggih yang menargetkan jembatan rsETH KelpDAO, yang menggunakan teknologi adapter Token Fungible Omnichain LayerZero (OFT). Penyerang berhasil memalsukan pesan lintas rantai melalui fungsi lzReceive, secara efektif melewati mekanisme validasi di Ethereum mainnet. Dengan memalsukan sumber rantai sebagai Unichain (EID 30320), penyerang mampu merilis 116.500 token rsETH yang tidak didukung dari escrow jembatan tanpa setoran yang sesuai di rantai sumber.

Akar penyebab eksploitasi ini dilacak ke konfigurasi jaringan Verifier Terdesentralisasi 1-dari-1 (DVN) yang rapuh, yang bergantung pada endpoint RPC terbatas. Endpoint ini tampaknya telah dikompromikan, memberi data verifikasi palsu ke kontrak jembatan. Yang penting, tidak ada pembakaran token nyata di rantai sumber, namun jembatan secara keliru mencetak rsETH yang setara di Ethereum mainnet. Hash transaksi utama untuk eksploitasi ini adalah 0x1ae232da212c45f35c1525f851e4c41d529bf18af862d9ce9fd40bf709db4222, yang dapat dilacak di penjelajah blockchain seperti Routescan.

**Dampak Langsung dan Penularan DeFi**

Alih-alih hanya menyimpan rsETH yang dicuri, penyerang langsung menggunakan token tidak didukung ini sebagai jaminan di berbagai protokol pinjaman, mengubah masalah keamanan jembatan menjadi kejadian penularan sistemik di DeFi. rsETH yang dicuri disetor ke pasar Aave V3 dan V4 di Ethereum mainnet dan Arbitrum, serta ke platform pinjaman lain seperti Compound V3, Euler, dan sekitar 30 platform lainnya. Dari posisi ini, penyerang meminjam sekitar 83.427 WETH dan wstETH, dengan rincian spesifik menunjukkan 52.834 WETH dipinjam di Ethereum mainnet dan 29.782 WETH plus 821 wstETH di Arbitrum.

Strategi leverage agresif ini menciptakan eksposur utang buruk yang signifikan di seluruh ekosistem DeFi. Perkiraan saat ini menunjukkan kerugian potensial antara $120 juta dan $236 juta di berbagai protokol pinjaman yang terdampak, dengan Aave menghadapi eksposur terbesar yang berpotensi mencapai $230 juta dalam utang buruk. Situasi ini memberi tekanan besar pada token tata kelola AAVE dan menimbulkan pertanyaan serius tentang praktik manajemen risiko dari platform pinjaman utama.

**Protokol Tanggap Darurat**

Respons terhadap eksploitasi ini cepat tetapi reaktif. Sekitar pukul 18:21 UTC pada 18 April, multisig pengunci darurat KelpDAO mengeksekusi pembekuan kontrak rsETH utama di seluruh mainnet dan semua jaringan Layer 2. Tak lama kemudian, Aave memutuskan untuk membekukan pasar rsETH di V3 dan V4, keputusan yang segera diikuti oleh Spark, Fluid, Ethena, Upshift, Morpho, dan banyak protokol lain.

Stani Kulechov, pendiri dan CEO Aave, mengonfirmasi melalui X bahwa rsETH telah dibekukan di Aave V3 dan V4, dan aset tersebut kehilangan semua kekuatan pinjaman sebagai respons langsung terhadap eksploitasi jembatan KelpDAO. Akun resmi Aave menyatakan bahwa komunitas perlu membahas apakah rsETH harus dihapus dari semua pasar Aave secara permanen setelah krisis langsung ini mereda, mengikuti pola yang diterapkan setelah kejadian utang buruk sebelumnya.

**Atribusi dan Analisis Teknis**

Peneliti keamanan dan perusahaan analitik blockchain mengaitkan serangan ini dengan Lazarus Group dari Korea Utara, sebuah kelompok peretas yang didukung negara yang terkenal menargetkan platform cryptocurrency. Metodologi serangan ini sesuai dengan taktik Lazarus Group yang sudah mapan, termasuk intrusi sabar, manipulasi mekanisme kepercayaan, dan penekanan kemampuan deteksi.

LayerZero Labs telah memberikan rincian teknis tambahan mengenai vektor serangan. Menurut analisis mereka, penyerang mendapatkan akses ke daftar endpoint RPC yang digunakan oleh infrastruktur DVN mereka, kemudian mengompromikan dua node independen yang berjalan di klaster terpisah tanpa koneksi langsung satu sama lain. Penyerang kemudian mengganti binary yang menjalankan node op-geth, secara efektif mengendalikan data verifikasi yang diberikan ke kontrak jembatan.

KelpDAO dilaporkan menyalahkan infrastruktur LayerZero atas pelanggaran keamanan ini, sementara LayerZero membantah bahwa masalah berasal dari konfigurasi DVN KelpDAO yang spesifik. LayerZero menegaskan bahwa mereka dan pihak eksternal lainnya sebelumnya telah menyampaikan praktik terbaik terkait diversifikasi DVN kepada KelpDAO, menunjukkan bahwa konfigurasi yang tepat dapat mencegah eksploitasi ini.

**Dampak Pasar dan Depegging rsETH**

Eksploitasi ini memiliki konsekuensi serius terhadap posisi pasar rsETH. Token ini mengalami depegging signifikan dari rasio dukungan ETH yang dimaksud, menciptakan ketidakpastian bagi pemegang di lebih dari 20 jaringan blockchain tempat rsETH dibungkus digunakan. Sekitar 18% dari pasokan rsETH yang beredar kini mewakili token tidak didukung, sehingga kepercayaan terhadap derivatif staking likuid ini terguncang hebat.

Ekosistem DeFi yang lebih luas juga merasakan dampaknya, dengan total kerugian hack hingga pertengahan April 2026 melebihi $750 juta. Eksploitasi KelpDAO ini melampaui rekor sebelumnya untuk 2026, yang dipegang oleh peretasan Drift Protocol sebesar $285 juta pada 1 April, dengan beberapa juta dolar lebih. Konsentrasi eksploitasi jembatan di tahun 2026 menyoroti tantangan keamanan yang terus berlangsung dalam infrastruktur lintas rantai.

**Status Saat Ini dan Upaya Pemulihan**

Per 21 April 2026, baik KelpDAO maupun LayerZero aktif bekerja sama dalam analisis akar penyebab lengkap dan laporan pasca-insiden. KelpDAO mengonfirmasi melalui akun X resmi mereka bahwa mereka sedang bekerja sama dengan LayerZero, Unichain, auditor keamanan, dan pakar blockchain untuk menyelidiki insiden dan mengembangkan kerangka pemulihan.

LayerZero menyatakan bahwa mereka telah menyadari insiden sejak terjadi dan sedang aktif memperbaiki situasi bersama tim KelpDAO. Mereka menegaskan bahwa aplikasi lain yang menggunakan infrastruktur LayerZero tetap aman dan bahwa laporan pasca-insiden lengkap akan segera dirilis bekerja sama dengan KelpDAO dan tim respons keamanan SEAL 911.

Alamat penyerang, termasuk 0x1F4C1c2e610f089D6914c4448E6F21Cb0db3adeF, telah dicap di penjelajah blockchain utama dan sedang dipantau secara aktif untuk setiap pergerakan dana yang dicuri. Namun, mengingat tingkat kecanggihan serangan dan keterlibatan aktor yang didukung negara, prospek pemulihan tetap tidak pasti.

**Poin Penting yang Harus Diambil**

Eksploitasi ini merupakan momen penting bagi keamanan DeFi, menunjukkan bagaimana kerentanan jembatan dapat menyebabkan risiko sistemik di seluruh ekosistem. Insiden ini menegaskan pentingnya konfigurasi DVN yang kokoh, mekanisme verifikasi yang diversifikasi, dan manajemen risiko proaktif dalam protokol lintas rantai. Bagi pengguna, kejadian ini menjadi pengingat keras akan risiko terkait aset bungkus dan sifat saling terkait dari pasar pinjaman DeFi modern.

Situasi ini terus berkembang, dengan protokol yang terdampak berupaya mengukur kerugian dan mengembangkan strategi pemulihan. Pengguna disarankan untuk memantau saluran resmi dari KelpDAO, LayerZero, dan platform pinjaman yang terdampak untuk pembaruan terkait rencana penggantian atau mekanisme pemulihan.