$292 Juta Hilang dalam 46 Menit: Di Balik Peretasan DeFi Kelp DAO

TLDR

• Jembatan bertenaga LayerZero milik Kelp DAO dieksploitasi pada hari Sabtu, menguras 116.500 rsETH senilai ~$292 juta
• Penyerang menipu lapisan pesan LayerZero untuk melepaskan dana ke alamat yang dikendalikan penyerang
• Sekitar $250 juta dana yang dicuri dikonversi menjadi ETH; alamat yang didanai Tornado Cash digunakan
• Setidaknya sembilan protokol membekukan pasar rsETH, termasuk Aave, SparkLend, dan Fluid
• Ini sekarang merupakan eksploitasi DeFi terbesar tahun 2026, melampaui peretasan Drift Protocol pada 1 April

Seorang penyerang menguras 116.500 rsETH dari jembatan bertenaga LayerZero milik Kelp DAO pada hari Sabtu pukul 00:35 WIB, membawa kabur sekitar $292 juta dalam aset kripto.

Jumlah yang dicuri mewakili sekitar 18% dari total pasokan beredar rsETH sebanyak 630.000 token, menurut data dari CoinGecko.

Kelp DAO adalah protokol restaking likuid. Protokol ini menerima ETH yang didepositkan pengguna, merutekannya melalui EigenLayer untuk mendapatkan hasil tambahan, dan menerbitkan rsETH sebagai token tanda terima yang dapat diperdagangkan.

Penyerang menipu lapisan pesan lintas-rantai LayerZero agar percaya bahwa instruksi yang valid telah tiba dari jaringan lain. Ini menyebabkan jembatan Kelp melepaskan dana ke dompet yang dikendalikan penyerang.

Multisig darurat Kelp menghentikan kontrak inti protokol 46 menit setelah pengurasan, pada pukul 01:21 WIB. Dua upaya lanjutan untuk menguras 40.000 rsETH lainnya — senilai sekitar $100 juta — keduanya diblokir.

Dana yang dicuri dipindahkan melalui alamat yang didanai Tornado Cash. Sekitar $250 juta dari rsETH yang dicuri telah dikonversi menjadi ETH, menurut perusahaan keamanan blockchain Cyvers.

Dampak Menyebar di Seluruh DeFi

Jembatan yang dikuras menyimpan cadangan yang mendukung rsETH terbungkus di lebih dari 20 blockchain, termasuk Base, Arbitrum, Linea, Blast, dan Scroll.

Dengan cadangan itu hilang, pemegang rsETH di jaringan layer 2 kini menghadapi ketidakpastian tentang apakah token mereka sepenuhnya didukung.

Aave membekukan pasar rsETH di V3 dan V4 dalam beberapa jam setelah eksploitasi. Token Aave turun sekitar 10% karena pasar memperhitungkan risiko utang macet potensial.

SparkLend dan Fluid juga membekukan pasar rsETH mereka. Lido Finance menghentikan deposit ke produk earnETH-nya, yang memiliki eksposur rsETH, sambil mengklarifikasi bahwa protokol staking intinya tidak terlibat.

Ethena menghentikan jembatan LayerZero OFT-nya dari mainnet Ethereum sebagai tindakan pencegahan selama sekitar enam jam, dengan menyatakan tidak memiliki eksposur rsETH.

Kelp memposting tanggapan publik pertamanya pada pukul 03:10 WIB — hampir tiga jam setelah serangan. Protokol tersebut mengatakan sedang bekerja sama dengan LayerZero, Unichain, auditornya, dan spesialis keamanan eksternal.

Periode Sulit untuk DeFi di 2026

CEO Cyvers Deddy Lavid mengatakan insiden ini menunjukkan risiko komposabilitas di DeFi, di mana protokol terhubung secara mendalam.

Drift Protocol, platform berbasis Solana, dikuras sekitar $285 juta pada 1 April dalam serangan yang terkait dengan aktor berafiliasi Korea Utara.

Protokol yang lebih kecil termasuk CoW Swap, Zerion, Rhea Finance, dan Silo Finance juga telah dieksploitasi dalam beberapa minggu terakhir.

Total kerugian kripto dari peretasan dan penipuan mencapai sekitar $482 juta di Q1 2026, menurut Cyvers.

Eksploitasi Kelp DAO sekarang menjadi peretasan DeFi terbesar tahun 2026, melampaui Drift dengan beberapa juta dolar.

Kelp belum mengungkapkan bagaimana penyerang melewati logika validasi jembatan pada saat publikasi.

Postingan $292 Juta Lenyap dalam 46 Menit: Di Dalam Peretasan DeFi Kelp DAO pertama kali muncul di CoinCentral.