Dilema desentralisasi: Risiko rantai dan hak penanganan darurat dalam krisis KelpDAO

Penulis: BlockSec

Poin utama: Celah jembatan KelpDAO senilai 2,9 miliar dolar AS memicu reaksi berantai, membekukan likuiditas WETH lebih dari 67 miliar dolar di lima rantai, dan menyentuh pengguna yang sebelumnya tidak pernah berinteraksi dengan rsETH. Peristiwa ini juga mengungkap batas nyata dari sistem “tanpa izin”: Dewan Keamanan Arbitrum melalui otorisasi tata kelola melakukan peningkatan kontrak atomik yang memaksa perubahan status, memindahkan 30.766 ETH tanpa tanda tangan pemilik.

Pada 18 April 2026, jembatan lintas rantai rsETH milik KelpDAO diserang, kehilangan sekitar 2,9 miliar dolar AS, menjadi insiden keamanan DeFi terbesar tahun ini. Penelusuran awal mengarah ke Lazarus Group, sebuah organisasi serangan tingkat negara yang memiliki rekam jejak panjang terhadap infrastruktur kripto [1]. Serangan ini bukan memanfaatkan celah kontrak pintar, melainkan melalui penyusupan ke infrastruktur RPC yang bergantung pada jaringan verifikasi terdesentralisasi (DVN) tunggal, memalsukan pesan lintas rantai, dan melepaskan token rsETH tanpa pembakaran yang sesuai di rantai sumber.

LayerZero [1] dan KelpDAO [2] telah menjelaskan secara rinci tentang serangan tersebut. Artikel ini mengambil sudut pandang lain: bukan mengulang proses serangan, melainkan meninjau apa yang terjadi setelahnya: bagaimana ketergantungan pada infrastruktur tunggal memicu pembekuan likuiditas ratusan juta dolar di lima rantai, dan bagaimana rantai ini memaksa kerangka tata kelola terdesentralisasi untuk menggunakan kekuasaan darurat yang terpusat di mata publik.

Rantai sebab-akibat dari insiden KelpDAO melibatkan tiga lapisan dari tumpukan teknologi “tanpa sentralisasi”: ketergantungan pada DVN tunggal memungkinkan serangan; kemampuan komposabilitas DeFi (yaitu “Lego DeFi”, di mana protokol saling terhubung seperti balok bangunan) kemudian mengubah celah jembatan ini menjadi krisis likuiditas sistemik; dan skala krisis tersebut secara balik memaksa kerangka tata kelola mengungkap kekuasaan darurat yang terintegrasi di dalamnya.

Latar belakang: Ringkasan serangan KelpDAO

KelpDAO adalah penerbit rsETH. rsETH adalah token staking likuiditas ulang (LRT), mewakili posisi staking ETH yang tersebar di beberapa operator. Untuk memungkinkan peredaran lintas rantai rsETH, KelpDAO mengintegrasikan protokol pesan LayerZero. Protokol ini bergantung pada DVN (jaringan verifikasi terdesentralisasi) untuk memverifikasi keabsahan pesan lintas rantai sebelum dieksekusi di rantai target.

Pilihan konfigurasi utama: rsETH OApp milik KelpDAO menggunakan konfigurasi 1-of-1 DVN, hanya mengandalkan DVN yang dioperasikan oleh LayerZero Labs sebagai satu-satunya validator. Ini berarti keamanan lintas rantai rsETH sepenuhnya bergantung pada satu entitas verifikasi. Dokumentasi integrasi LayerZero secara tegas menyarankan penggunaan konfigurasi DVN berlebih (multi-DVN), dan LayerZero menyatakan bahwa sebelum kejadian, mereka telah menyampaikan praktik terbaik ini kepada KelpDAO [1]. KelpDAO membalas bahwa konfigurasi 1/1 adalah “sesuai dokumentasi LayerZero dan sebagai konfigurasi default yang dipublikasikan untuk deployment OFT baru”, serta “sudah diakui sebagai konfigurasi yang tepat selama proses ekspansi L2” [2].

Penyerang menyusup ke dua node RPC yang digunakan oleh DVN LayerZero Labs, mengganti file binernya dengan versi berbahaya. Node berbahaya ini hanya memberikan data status on-chain palsu terhadap alamat IP DVN, sementara terhadap semua pengamat lain (termasuk infrastruktur monitoring LayerZero sendiri) tampil normal. Pada saat yang sama, serangan DDoS terhadap node RPC yang tidak disusupi memaksa sistem beralih ke node yang telah disusupi. Akibatnya: DVN mengonfirmasi sebuah pesan lintas rantai dari sumber yang tidak pernah terjadi, tanpa pembakaran di rantai sumber, dan melepaskan 116.500 rsETH melalui adaptor Ethereum (0x85d4…8ef3) [1, 3]. Transaksi pelepasan ini berisi 0x1ae232…db4222. Bukti on-chain menunjukkan bahwa target Ethereum menerima nonce 308, sementara endpoint sumber Unichain masih melaporkan nonce maksimum 307 [10].

KelpDAO mendeteksi anomali dalam 46 menit dan menghentikan semua kontrak terkait. Langkah ini mencegah serangan lanjutan terhadap 40.000 rsETH (sekitar 95 juta dolar AS) [2]. Namun, saat itu, penyerang sudah masuk ke tahap berikutnya: menggunakan protokol pinjaman DeFi untuk mengubah rsETH yang dicuri menjadi aset pinjaman.

Dari token palsu ke aset pinjaman

Penyerang tidak langsung menjual rsETH yang dicuri. 116.500 token ini dibagi ke tujuh dompet cabang, dan diubah melalui berbagai saluran, termasuk konversi langsung ke ETH melalui aggregator, posisi pinjaman di Compound V3, dan lintas jembatan ke Arbitrum [10]. Tetapi jalur paling berpengaruh adalah melalui Aave: penyerang menyetor 89.567 rsETH (sekitar 221 juta dolar AS) ke dua pasar pinjaman di chain berbeda: Ethereum Core dan Arbitrum. Dengan memanfaatkan fitur E-Mode Aave (yang memungkinkan aset terkait mendapatkan rasio pinjaman yang lebih tinggi), penyerang meminjam 82.620 WETH dan 821 wstETH dengan rsETH yang disetor sebagai jaminan [3].

Posisi ini sangat leverage. Faktor kesehatan dari tujuh alamat penyerang berkisar antara 1,01 hingga 1,03, hanya sedikit di atas batas likuidasi [3]. Hal ini dimungkinkan karena E-Mode Aave menetapkan LTV sebesar 93% untuk rsETH, sedangkan batas likuidasi adalah 95%, sehingga margin keamanan hanya 2 poin persentase.

Rincian posisi di kedua pasar:

Tabel 1: Rincian pinjaman dan pasokan rsETH serta WETH/w