Pada 18 April 2026, pukul 17.35 UTC, seorang penyerang mengeksploitasi jembatan cross-chain rsETH berbasis LayerZero milik KelpDAO, mencuri 116.500 rsETH—senilai sekitar USD 292 juta—dalam waktu hanya 46 menit. Twist krusial dari serangan ini adalah, sang peretas tidak langsung membuang aset hasil airdrop tersebut di pasar sekunder—likuiditas rsETH terlalu tipis untuk aksi jual berskala besar. Sebaliknya, penyerang mendepositkan token curian sebagai agunan di protokol peminjaman terkemuka seperti Aave V3, Compound V3, dan Euler, lalu meminjam sekitar USD 236 juta dalam bentuk WETH/ETH asli.
Serangan ini bukan berasal dari bug smart contract tradisional, melainkan akibat salah konfigurasi pada level parameter deployment. Implementasi cross-chain LayerZero V2 KelpDAO menggunakan setup DVN (Decentralized Verification Network) 1/1—artinya satu node validator dapat menyetujui pesan cross-chain. Setelah node DVN tersebut dikompromi, penyerang memperoleh kemampuan untuk memalsukan pesan cross-chain secara sewenang-wenang, sehingga bisa "minting dari udara kosong." Lebih mengkhawatirkan lagi, menurut Dune Analytics, 47% OApps LayerZero saat itu menggunakan konfigurasi DVN 1/1 yang sama, sehingga lebih dari USD 4,5 miliar aset berada dalam risiko. Artinya, insiden KelpDAO bukan sekadar masalah proyek terisolasi, namun mengungkap cacat struktural keamanan di seluruh lapisan infrastruktur cross-chain.
Bagaimana Reaksi Berantai dari Peminjaman Beragunan Menuju Kredit Macet Terjadi
Setelah mendepositkan rsETH palsu ke berbagai protokol peminjaman, Aave V3 menjadi pihak dengan eksposur terbesar. Data on-chain menunjukkan sekitar 89.567 rsETH (sekitar USD 221 juta) digunakan sebagai agunan di Aave, menghasilkan pinjaman sekitar 82.650 WETH (sekitar USD 191 juta). Karena rsETH yang terlibat dicetak dari udara kosong di sumbernya, begitu digunakan sebagai agunan pinjaman, seluruh pinjaman kehilangan dasar likuidasi yang sah.
Namun, secara teknis, kode Aave sendiri tidak dikompromi. Logika peminjaman protokol tetap berfungsi sesuai desain—masalahnya terletak pada nilai dasar agunan. Setelah jembatan cross-chain ditembus, dukungan fundamental untuk token rsETH tersebut lenyap. Aave segera membekukan seluruh pasar terkait rsETH, menetapkan rasio loan-to-value (LTV) menjadi nol, dan melakukan penyesuaian darurat pada model suku bunga. Namun, kredit macet sudah menjadi kenyataan. Berdasarkan laporan insiden dari LlamaRisk, penyedia layanan dan manajemen risiko Aave, tergantung pada skenario alokasi kerugian, Aave menghadapi kredit macet antara USD 124 juta hingga USD 230 juta. Angka USD 200 juta yang sering dikutip merujuk pada kerugian inti dari insiden ini.
Mengapa Kerentanan Validasi Titik Tunggal Menjadi Titik Buta Struktural Keamanan Industri
Perbedaan utama insiden KelpDAO dengan pelanggaran keamanan DeFi lainnya adalah tidak adanya kerentanan kode sumber untuk diaudit. Masalahnya bukan pada file .sol, melainkan pada parameter deployment—ambang DVN—yang ditetapkan saat protokol di-deploy. Parameter ini tidak tercakup dalam jangkauan alat analisis statis seperti Slither atau Mythril, yang efektif mendeteksi pola kode seperti serangan reentrancy, namun hampir tidak mampu menangkap risiko level konfigurasi. Ketika fokus audit smart contract hanya pada kebenaran kode, parameter deployment seperti konfigurasi DVN menjadi zona merah dalam matriks keamanan.
Filosofi desain LayerZero V2 mendelegasikan keputusan keamanan ke lapisan aplikasi. Secara teori, ini meningkatkan fleksibilitas, namun dalam praktiknya, banyak proyek memilih mode ekstrim 1/1 demi kemudahan. Begitu mekanisme keamanan bisa "dikonfigurasi secara sembarangan," batas audit pun terdorong keluar. Insiden KelpDAO menyoroti kontradiksi inti: protokol cross-chain menawarkan kemampuan multi-validator, namun banyak proyek justru mengabaikan perlindungan redundan demi kemudahan penggunaan. Saat ini, industri belum memiliki proses review keamanan konfigurasi yang terstandarisasi untuk menjembatani celah ini.
Bagaimana Kepanikan Pasar dan Penarikan Likuiditas Meningkat
Begitu berita tersebar, kepanikan pasar segera berubah menjadi pelarian modal nyata. Per 27 April 2026, menurut data pasar Gate, harga token terkait insiden mengalami volatilitas signifikan, dan sektor DeFi secara keseluruhan mendapat tekanan. Dalam 48 jam setelah kejadian, Aave mengalami arus keluar deposit bersih sekitar USD 8,45 miliar, dengan TVL turun dari sekitar USD 26,4 miliar menjadi USD 17,9 miliar. Di seluruh ekosistem DeFi, total value locked (TVL) turun sekitar USD 13,21 miliar pada periode yang sama, dari sekitar USD 99,5 miliar menjadi USD 86,3 miliar.
Penting untuk dicatat, penurunan TVL tidak berarti kehilangan aset secara setara. Beberapa analisis menunjukkan sebagian besar arus keluar berasal dari likuidasi berantai posisi leverage tinggi dan penarikan institusi yang menghindari risiko, bukan seluruh aset yang "hilang." Meski demikian, guncangan ini mengungkap masalah mendalam: ketika pool inti protokol peminjaman utama terkuras dan utilisasi modal mendekati 100%, permintaan penarikan pengguna reguler tidak dapat dipenuhi. Kali ini, Aave bukan sumber risiko, namun karena agunannya didominasi rsETH, Aave terseret ke pusat krisis.
Menelusuri Jalur Pencucian Dana Penyerang dan Detail Teknis Tindakan Freeze Arb
Setelah mengeksploitasi celah KelpDAO, penyerang segera berupaya menyamarkan dana curian melalui berbagai lapisan. Dana awal berasal dari Tornado Cash, dengan penyerang menerima 1 ETH dari mixer sekitar 10 jam sebelum insiden. Setelah pencurian, hasil kejahatan dipindahkan di antara berbagai protokol peminjaman dan kemudian ke kanal cross-chain.
Pada 20 April, Arbitrum Security Council menggunakan kewenangan darurat, mengidentifikasi sekitar 30.765 ETH (saat itu senilai sekitar USD 71,5 juta) yang dimiliki penyerang dan melakukan operasi teknis untuk mentransfer serta membekukan aset di alamat aman. Langkah ini menjadi tonggak dalam pelacakan aset on-chain: menunjukkan bahwa security council Layer 2 dapat, dalam kondisi tertentu, mengintervensi pergerakan dana. Penyerang merespons cepat—dalam beberapa jam setelah freeze, sekitar 75.700 ETH (sekitar USD 175 juta) disebar ke dua wallet baru. Analisis on-chain lebih lanjut menunjukkan sekitar USD 1,5 juta dana curian telah dibridge dari Ethereum ke Bitcoin melalui Thorchain, dengan dana tambahan disamarkan menggunakan alat privasi seperti Umbra. Ini menunjukkan penyerang berupaya memindahkan dana curian sepenuhnya keluar dari ekosistem Ethereum yang dapat dilacak.
Pemulihan Komunitas dan Penanganan Kredit Macet USD 200 Juta Aave
Menghadapi kekurangan sekitar USD 200 juta, pendiri Aave memimpin pembentukan dana pemulihan berskala industri bernama DeFi United. Per 26 April, menurut data Arkham, DeFi United telah mengumpulkan lebih dari USD 160 juta, menutupi sekitar 80% dari kekurangan dana. Kontributor terbesar adalah komunitas Mantle dan Aave, bersama-sama menyumbang 55.000 ETH—sekitar USD 127 juta saat itu.
Pendiri Aave, Stani Kulechov, secara pribadi menyumbang 5.000 ETH. Institusi seperti Golem Foundation, Ether.fi, dan Lido DAO juga berkomitmen memberikan dukungan dalam jumlah bervariasi. Lebih penting lagi, Aave Labs bersama Kelp DAO, LayerZero, Ether.fi, Compound, dan protokol besar lainnya mengajukan proposal konstitusional ke Arbitrum DAO untuk membuka blokir 30.765 ETH (sekitar USD 71,5 juta) dan mengalokasikannya ke dana pemulihan DeFi United. Jika seluruh kontribusi berhasil diamankan, total dana DeFi United akan melebihi USD 236 juta, cukup untuk menutupi seluruh kredit macet saat ini.
Perlu dicatat, proses tata kelola ini diperkirakan memakan waktu sekitar 49 hari, dan beberapa komitmen dana besar masih memerlukan persetujuan melalui voting DAO—sehingga hasil akhirnya masih belum pasti.
Paradoks Keamanan Cross-Chain dan Tata Kelola Keuangan Terdesentralisasi
Insiden KelpDAO mendorong refleksi mendalam di industri: keamanan jembatan cross-chain tetap menjadi masalah struktural yang sulit diatasi sepenuhnya. Sebelum serangan, sebanyak 47% aplikasi terdesentralisasi yang terintegrasi dengan LayerZero menggunakan konfigurasi DVN 1/1. Ini bukan sekadar pilihan KelpDAO, melainkan cerminan sistemik dari ekosistem yang lama mengutamakan kemudahan dibanding redundansi keamanan. Dalam skenario cross-chain, kepercayaan tidak lagi hanya bertumpu pada kode smart contract, tetapi juga pada parameter deployment dan keamanan operasional jaringan node validator—faktor yang sering kali di luar jangkauan audit konvensional.
Di sisi lain, tindakan freeze aset oleh Arbitrum Security Council mengangkat paradoks lama ke permukaan: ketika jaringan Layer 2 "terdesentralisasi" memiliki kemampuan teknis untuk mengintervensi—pada dasarnya "backdoor" di level kode—apa bedanya dengan kustodian terpusat? Jika aset pengguna dapat diblokir on-chain oleh security council, narasi "trustless" keuangan terdesentralisasi menjadi tantangan mendasar.
Insiden ini bukan lagi krisis keamanan proyek tunggal, tetapi ujian stres kolektif terhadap fondasi institusional DeFi.
Kesimpulan
Peretasan KelpDAO menjadi insiden keamanan DeFi terbesar tahun 2026 sejauh ini, dengan kerugian sekitar USD 292 juta. Namun dampaknya jauh melampaui angka tersebut: Aave mengalami penarikan deposit USD 8,45 miliar dalam 48 jam, dan TVL ekosistem DeFi turun lebih dari USD 13 miliar. Penyebab utama bukan bug smart contract, melainkan salah konfigurasi validasi titik tunggal pada jembatan cross-chain—kerentanan yang masih ada di banyak protokol industri.
Melalui pembentukan dana pemulihan DeFi United, Aave telah mengumpulkan lebih dari USD 160 juta, menutupi sekitar 80% kredit macet, dan bersama lima protokol utama mengajukan proposal konstitusional ke Arbitrum DAO untuk membuka blokir aset. Per 27 April 2026, DeFi United masih menunggu hasil beberapa voting tata kelola. Terlepas dari bagaimana kredit macet USD 200 juta akhirnya diselesaikan, insiden KelpDAO telah menjadi titik balik bagi DeFi, menandai pergeseran dari "code is law" ke "governance is protection."
Pertanyaan yang Sering Diajukan (FAQ)
T: Apa kerentanan utama dalam serangan KelpDAO?
Masalah inti bukan bug smart contract, melainkan masalah konfigurasi DVN pada solusi cross-chain LayerZero. KelpDAO menggunakan setup node validator tunggal 1/1, sehingga begitu node tersebut dikompromi, penyerang dapat memalsukan pesan cross-chain dan mencetak rsETH dari udara kosong. Ini adalah peristiwa keamanan sistemik akibat runtuhnya model kepercayaan cross-chain yang dikombinasikan dengan kesalahan konfigurasi.
T: Berapa kerugian Aave sebenarnya dalam insiden ini?
Aave tidak diserang secara langsung, namun karena rsETH digunakan sebagai agunan, penyerang meminjam WETH dalam jumlah besar. Tergantung pada skenario alokasi kerugian, kredit macet Aave diperkirakan antara USD 124 juta hingga USD 230 juta, dengan angka yang sering dikutip sekitar USD 200 juta. Per 27 April, DeFi United telah mengumpulkan lebih dari USD 160 juta, menutupi sekitar 80% kekurangan dana.
T: Apakah dana curian bisa dipulihkan?
Sebagian dana telah dibekukan. Arbitrum Security Council berhasil membekukan sekitar 30.765 ETH (sekitar USD 71,5 juta) milik penyerang, namun penyerang sudah memindahkan sekitar 75.700 ETH ke wallet baru dan membridge dana ke jaringan Bitcoin melalui Thorchain dan alat lain, sehingga pemulihan semakin sulit.
T: Apakah protokol lain yang menggunakan LayerZero aman?
Tidak selalu. Data Dune Analytics menunjukkan sebelum serangan KelpDAO, 47% OApps LayerZero menggunakan konfigurasi DVN 1/1 yang sama, memengaruhi lebih dari USD 4,5 miliar aset. Setiap protokol harus meninjau konfigurasi DVN secara independen, dan industri kini mendorong migrasi dari setup validator tunggal ke multi-validator.
