Seorang penyerang menguras 116.500 rsETH dari bridge LayerZero milik Kelp DAO dalam exploit DeFi terbesar tahun 2026, memicu pembekuan darurat di Aave, SparkLend, dan Fluid.
Kelp DAO kehilangan $292 juta dalam rsETH setelah seorang penyerang memanfaatkan kerentanan dalam bridge cross-chain yang didukung LayerZero protokol, menjadikannya exploit DeFi terbesar tahun 2026.
Pada 18 April, seorang penyerang memanipulasi lapisan cross-chain messaging LayerZero untuk menipu bridge Kelp DAO agar mengeluarkan 116.500 rsETH, kira-kira 18% dari pasokan token yang beredar. Pengaliran terjadi pada 17:35 UTC melalui panggilan ke fungsi lzReceive pada kontrak EndpointV2 LayerZero, yang memicu bridge untuk mengeluarkan dana ke alamat yang dikendalikan penyerang.
Multisig penangguhan darurat Kelp membekukan kontrak inti protokol 46 menit kemudian pada 18:21 UTC. Dua upaya lanjutan pada 18:26 dan 18:28 UTC, masing-masing membawa paket LayerZero untuk 40.000 rsETH senilai kira-kira $100 juta, diblokir oleh pembekuan. Penyerang menggunakan Tornado Cash untuk mendanai dompet awal dan kemudian menjaminkan rsETH yang dicuri di Aave V3 untuk meminjam ETH dan WETH sebelum mengarahkan hasil melalui Tornado Cash lagi.
Exploit ini adalah insiden keamanan DeFi terbesar tahun ini, melampaui hack protokol Drift sebesar beberapa juta dolar. Lebih penting lagi, pengaliran memengaruhi cadangan rsETH yang mendukung token di lebih dari 20 jaringan, menimbulkan pertanyaan tentang kelarutan rsETH pada layer 2 chains.
Aave, SparkLend, Fluid, dan Upshift semua membekukan pasar terkait rsETH dalam hitungan jam sebagai tindakan pencegahan. Harga token AAVE turun kira-kira 10% setelahnya. Insiden ini menambah tekanan segar pada debat keamanan bridge cross-chain, yang telah menjadi titik lemah berulang untuk DeFi sejak exploit Wormhole dan Ronin tahun-tahun sebelumnya. Penyelidik on-chain ZachXBT menandai exploit sejak dini dan melacak gerakan penyerang di seluruh pasar pinjaman DeFi Ethereum.
Kelp DAO belum mengeluarkan post-mortem atau mengungkapkan apakah rencana pemulihan sedang berlangsung. Pertanyaan kunci sekarang adalah apakah protokol dapat bernegosiasi untuk pengembalian dana, seperti yang telah dilakukan beberapa penyerang di masa lalu, dan bagaimana protokol pinjaman Aave dan lainnya akan menangani potensi bad debt yang diciptakan oleh posisi peminjaman penyerang. Model keamanan LayerZero juga sedang dipertanyakan, karena serangan memanfaatkan lapisan messaging daripada smart contract milik Kelp sendiri.
Ini adalah cerita yang berkembang. Exploit Kelp DAO senilai $292 juta menyoroti risiko persisten dalam infrastruktur bridge cross-chain, bahkan ketika ekosistem DeFi yang lebih luas terus berkembang. Pengguna yang terkena dampak harus memantau saluran resmi Kelp DAO untuk pembaruan tentang upaya pemulihan dana.
Disclaimer: Konten berita hanya untuk tujuan informasi dan tidak boleh dianggap sebagai nasihat keuangan. Kondisi pasar dapat berubah dengan cepat. Selalu lakukan riset sendiri.
