Penyerang menguras 116.500 rsETH dari jembatan LayerZero Kelp DAO, memicu pembekuan darurat di sembilan protokol dan penurunan TVL $6 miliar di Aave.
Kelp DAO, sebuah protokol liquid restaking dengan TVL $1,57 miliar, kehilangan sekitar $293 juta pada 18 April setelah penyerang mengeksploitasi celah pada jembatan cross-chain yang didukung LayerZero, menjadikannya eksploit DeFi terbesar tahun 2026.
Penyerang memalsukan pesan cross-chain melalui lapisan pesan LayerZero, menipu jembatan Kelp agar percaya bahwa instruksi yang valid telah tiba dari jaringan lain. Jembatan tersebut kemudian melepaskan 116.500 rsETH, sekitar 18% dari total pasokan yang beredar, ke alamat yang dikendalikan penyerang.
Dalam hitungan menit, rsETH yang dicuri disimpan sebagai jaminan di protokol pinjaman Aave, di mana penyerang meminjam lebih dari $200 juta dalam wrapped ether sebelum komunitas mendeteksi jaminan yang tidak didukung. Kelp mengaktifkan kontrol darurat sekitar 46 menit setelah eksploit awal, membekukan setoran, penarikan, fungsi oracle, dan token rsETH itu sendiri.
Kerusakan menyebar jauh melampaui Kelp. Setidaknya sembilan protokol DeFi bergegas membekukan pasar atau menerapkan langkah pengendalian kerusakan. Aave mencatat penurunan $6 miliar dalam total nilai terkunci, dan token AAVE-nya turun 16% saat para trader memperhitungkan risiko jaminan yang tidak didukung di pool pinjaman protokol.
Eksploit ini menyoroti kerentanan yang terus-menerus dalam infrastruktur jembatan cross-chain. Meskipun bertahun-tahun terjadi peretasan jembatan tingkat tinggi, lapisan pesan LayerZero, yang menopang interoperabilitas untuk puluhan protokol, terbukti rentan terhadap instruksi palsu. Insiden ini menimbulkan pertanyaan baru tentang bagaimana protokol liquid restaking mengelola keamanan jembatan saat mereka berkembang ke berbagai chain.
Para analis menyarankan bahwa jalur pemulihan yang paling realistis melibatkan negosiasi hadiah 10-15% dengan peretas untuk mengembalikan sebagian besar dana yang dicuri. Kelp DAO menyatakan sedang bekerja sama dengan LayerZero, auditor, dan firma keamanan untuk menyelidiki akar penyebabnya. Pendiri Aave Stani Kulechov mengonfirmasi bahwa kontrak pintar Aave sendiri tidak terkompromi, tetapi pasar rsETH di V3 tetap dibekukan menunggu penyelesaian.
Ini adalah berita yang masih berkembang. Kelp DAO telah mendesak pengguna untuk hanya mengikuti saluran resmi untuk pembaruan sementara upaya pemulihan berlanjut.
A CAPO oracle misconfiguration on Aave caused 34 users to lose positions worth $27M, with full reimbursement pledged by the DAO.
Key Aave contributor BGD Labs will end all technical work on April 1, citing centralization concerns and friction with Aave Labs over v4 development.
The DeFi lending protocol faces internal conflict over brand control and fee allocation, triggering a whale sell-off while founder Stani Kulechov buys the dip.
Disclaimer: Konten berita hanya untuk tujuan informasi dan tidak boleh dianggap sebagai nasihat keuangan. Kondisi pasar dapat berubah dengan cepat. Selalu lakukan riset sendiri.
