Sektor DeFi mengalami krisis keamanan paling parah sepanjang tahun pada April 2026. Pada 18 April 2026, sekitar pukul 17.35 UTC, jembatan lintas rantai rsETH milik Kelp DAO yang dibangun di atas LayerZero menjadi korban serangan berskala besar. Penyerang berhasil mencetak sekitar 116.500 rsETH secara tiba-tiba di Ethereum mainnet, dengan nilai sekitar $292 juta saat itu—sekitar 18% dari total pasokan rsETH yang beredar. Insiden ini tidak hanya menjadi peristiwa keamanan DeFi terbesar di tahun 2026, tetapi juga memicu gelombang pelarian modal di seluruh industri. Total nilai terkunci (TVL) DeFi anjlok dari sekitar $110 miliar di awal 2026 menjadi sekitar $82,4 miliar, penurunan 25% ke level terendah dalam setahun. Berbeda dengan serangan protokol tunggal sebelumnya, peristiwa ini mengungkap efek gabungan dari tiga kerentanan utama: risiko konfigurasi infrastruktur lintas rantai, cacat logika kolateral restaking, dan struktur protokol DeFi yang sangat terhubung. Ancaman tiga lapis ini layak mendapat perhatian serius di seluruh industri.
Serangan Terjadi Hanya dalam 46 Menit
Serangan dimulai pada 18 April 2026, pukul 17.35 UTC. Setelah memperoleh dana awal melalui Tornado Cash, penyerang memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, mengirim pesan lintas rantai palsu ke kontrak jembatan Kelp DAO di Ethereum mainnet. Pesan ini secara keliru mengklaim bahwa aset rsETH telah dikunci di chain sumber dan meminta pelepasan jumlah setara di chain tujuan. Kontrak gagal memverifikasi asal chain pesan lintas rantai secara ketat dan mengeksekusi pelepasan, mentransfer 116.500 rsETH ke alamat yang dikendalikan penyerang.
Bahaya sebenarnya terletak pada langkah berikutnya dari penyerang. Alih-alih menjual rsETH di pasar sekunder—di mana likuiditas sudah tipis dan penjualan besar akan menyebabkan slippage parah—hacker mendepositkan aset tersebut sebagai kolateral ke protokol peminjaman utama seperti Aave V3 dan V4, serta Compound V3, lalu meminjam sekitar $236 juta dalam WETH/ETH asli.
Sekitar 46 menit setelah insiden dimulai, Kelp DAO mengaktifkan jeda darurat melalui multisig, berhasil memblokir dua upaya lanjutan untuk mengekstrak sekitar 80.000 rsETH tambahan dan mencegah kerugian lebih lanjut. Selanjutnya, Aave segera membekukan semua pasar terkait rsETH di V3 dan V4, dan beberapa protokol—termasuk Ethena, Curve Finance, dan ether.fi—menghentikan atau membekukan fungsi lintas rantai LayerZero.
Linimasa Serangan
| Waktu (UTC) | Peristiwa |
|---|---|
| 17.35 | Penyerang memulai transaksi lintas rantai palsu pertama, berhasil mencetak 116.500 rsETH |
| 17.35–17.40 | Penyerang mendepositkan rsETH secara bertahap ke Aave dan protokol peminjaman lain, meminjam WETH/ETH |
| ~18.20 | Kelp DAO mengaktifkan jeda kontrak darurat via multisig, mencegah serangan lanjutan |
| Beberapa jam setelah serangan | Aave membekukan pasar rsETH; berbagai protokol menghentikan fungsi LayerZero |
Data On-Chain: 20 Blockchain Teratas Tertekan TVL
Berdasarkan data DeFiLlama terbaru (per 21 April 2026), total TVL DeFi turun menjadi sekitar $82,4 miliar setelah serangan, penurunan harian sekitar 5,6%. Penurunan harian ini termasuk 2% terparah sejak 2024. Berdasarkan sektor, pasar peminjaman paling terdampak dengan penurunan TVL sekitar 13%; liquid staking turun sekitar 3,4%; dan bursa terdesentralisasi serta protokol derivatif mengalami penurunan antara 2% hingga 3%.
Ethereum, yang menyumbang 53,91% dari total TVL DeFi, mengalami penurunan TVL sebesar 17,91% dalam 30 hari terakhir. TVL saat ini sekitar $46,17 miliar, turun tajam dari lebih $56 miliar sebelum serangan. Di antara 20 blockchain teratas, hanya beberapa yang menunjukkan pertumbuhan positif tipis, sementara mayoritas mengalami penurunan bulanan, dengan arus keluar modal semakin cepat setelah insiden.
Pertama, serangan memperkuat tren arus keluar modal yang sudah ada. Penurunan bulanan Ethereum mencapai 17,91%, yang sebelumnya sudah tertekan akibat menurunnya selera risiko pasar secara umum. Kedua, beberapa blockchain menunjukkan rebound mingguan tipis (misal, Sei +7,85% selama 7 hari; PulseChain -0,24% selama 7 hari namun +13,77% bulanan), menunjukkan bahwa modal tidak sepenuhnya keluar dari ekosistem, tetapi dialokasikan ulang untuk manajemen risiko. Ketiga, penurunan bulanan paling tajam terjadi pada chain yang sangat terkait dengan ekosistem restaking Ethereum atau infrastruktur jembatan lintas rantai, seperti Mantle (-52,01%), Ethereal (-18,55%), dan Hyperliquid L1 (-17,73%), mencerminkan gelombang kejut terarah akibat keterkaitan protokol.
Akar Masalah: Konfigurasi Tunggal yang Terlewatkan
Kerentanan utama dalam serangan ini bukanlah bug smart contract, melainkan kesalahan konfigurasi parameter deployment. Kontrak lintas rantai rsETH Kelp DAO menggunakan setup DVN (Decentralized Verifier Network) 1/1, artinya satu node verifier saja dapat menyetujui pesan lintas rantai. Sebaliknya, dokumentasi resmi LayerZero merekomendasikan konfigurasi default multi-verifier 2/2.
Jalur teknis penyerang: Pertama, mereka memperoleh daftar node RPC yang digunakan oleh DVN LayerZero, mengkompromi dua cluster RPC independen, dan mengganti binary op-geth mereka. Kemudian, mereka memalsukan respons secara selektif—mengirim paket data jahat hanya ke DVN, sementara mengembalikan data asli ke IP lain agar tidak terdeteksi. Secara bersamaan, mereka meluncurkan serangan DDoS ke node RPC yang tidak terkompromi, memaksa DVN beralih ke node yang telah diracuni. Setelah pesan palsu divalidasi, binary jahat melakukan self-destruct untuk menghapus log.
Laporan pasca-insiden dari LayerZero Labs secara awal mengaitkan serangan ini dengan kelompok TraderTraitor, bagian dari Lazarus Group Korea Utara, yang juga terkait dengan serangan Drift Protocol di awal bulan. LayerZero menegaskan bahwa insiden ini hanya memengaruhi konfigurasi rsETH Kelp DAO; aplikasi lain yang menggunakan redundansi multi-DVN tidak terdampak, dan protokol itu sendiri tidak memiliki kerentanan.
Sengketa Tanggung Jawab
Setelah insiden, sengketa tanggung jawab muncul di antara Kelp DAO, LayerZero, dan Aave. LayerZero berpendapat bahwa penggunaan setup DVN 1/1 oleh Kelp DAO adalah penyebab langsung—"single point of failure" dengan cacat mendasar. Pendiri Kelp DAO, Charlie, mengakui di X bahwa timnya keliru menggunakan konfigurasi DVN 1/1 dan menyatakan akan memberikan kompensasi penuh kepada semua pengguna terdampak, secara eksplisit menolak pendekatan "kerugian sosial" yang banyak ditakuti.
Sementara itu, pengembang inti Yearn Finance, banteg, menantang karakterisasi LayerZero atas peristiwa sebagai "RPC poisoning", berargumen bahwa penyerang telah melanggar batas kepercayaan LayerZero dan tingkat keparahan insiden diremehkan. Analis pihak ketiga mencatat bahwa meski Kelp DAO memilih setup DVN 1/1, sebagai desainer protokol lintas rantai, LayerZero juga memikul tanggung jawab arsitektural.
Menariknya, tim risiko Aave terdahulu, BGD Labs, telah menandai masalah konfigurasi DVN Kelp DAO sejak Januari tahun lalu. Namun, meski Kelp menerima saran tersebut, mereka tidak melakukan perubahan substantif, dan Aave tidak melanjutkan pemantauan. Sejarah ini menyoroti disconnect struktural antara pemberian peringatan keamanan dan implementasi nyata.
Dampak Industri: Bad Debt Aave dan Kontagion Protokol
Aave menjadi pihak yang paling terdampak. Penyerang menggunakan rsETH hasil curian sebagai kolateral untuk meminjam ETH di Aave, menghasilkan bad debt sebesar $177 juta hingga $196 juta yang tidak dapat dipulihkan melalui mekanisme likuidasi standar. Utilisasi ETH di berbagai pasar Aave V3 sempat mencapai 100%, memicu gelombang penarikan dana.
Dalam 48 jam setelah serangan, TVL Aave anjlok dari sekitar $26,4 miliar menjadi $17 miliar—outflow jangka pendek sebesar $9,45 miliar, rekor terbesar dalam sejarah protokol. Harga token AAVE turun sekitar 10% hingga hampir 20% pasca peristiwa.
Per 21 April 2026, data pasar Gate menunjukkan: AAVE dihargai sekitar $105,73, dan ETH sekitar $2.309. Semua harga berdasarkan data real-time platform Gate, dikutip dalam USD.
Daftar Kontagion
Di luar Aave, beberapa protokol utama mengambil tindakan darurat. Ethena memperpanjang penangguhan jembatan LayerZero OFT; Curve Finance menghentikan infrastruktur LayerZero, memengaruhi bridging CRV dari BNB, Sonic, Avalanche, dan chain lain; ether.fi serta Tron DAO juga membekukan jembatan LayerZero OFT mereka; SparkLend dan Fluid secara bersamaan membekukan posisi yang melibatkan rsETH. Compound V3 menanggung bad debt sekitar $39,4 juta, dan Euler sekitar $840.000.
Reaksi berantai ini mengungkap kerentanan struktural di DeFi: aset wrapped tipe LRT (seperti rsETH) sangat bergantung pada keamanan jembatan. Ketika protokol peminjaman utama menerima aset berisiko tinggi ini sebagai kolateral, setiap eksploitasi mendasar dapat langsung menyebar melalui keterkaitan protokol di seluruh ekosistem peminjaman. Komposabilitas DeFi yang "seperti Lego" memperbesar transmisi risiko secara sangat asimetris.
Tiga Jalur Penanganan Bad Debt—dan Dilema
Pendiri DeFiLlama, 0xngmi, menguraikan tiga skenario potensial untuk menyelesaikan dampak Kelp DAO:
Jalur 1: Kerugian Sosial. Kelp DAO memberlakukan haircut seragam ~18,5% pada semua pemegang rsETH. Dalam skenario ini, semua posisi kolateral rsETH Aave mainnet terhapus, menghasilkan sekitar $216 juta bad debt. Protokol Umbrella dapat menutup sekitar $55 juta, treasury Aave menyerap $85 juta lagi, menyisakan gap $76 juta yang harus diisi Kelp DAO melalui pinjaman atau penjualan token.
Jalur 2: Tinggalkan Pengguna L2. Kelp DAO hanya melindungi pemegang rsETH mainnet, menganggap rsETH L2 tidak bernilai. Aave L2 saat ini memegang sekitar $359 juta kolateral rsETH; jika seluruhnya dimaksimalkan, akan tercipta sekitar $341 juta bad debt tanpa cakupan protokol Umbrella. Aave kemungkinan akan meninggalkan pasar L2 yang paling terdampak, seperti Arbitrum, Mantle, dan Base.
Jalur 3: Refund Snapshot Pra-Serangan. Kelp DAO mengkompensasi penuh hanya mereka yang memegang rsETH sebelum serangan, berdasarkan snapshot, sementara pembeli atau penerima setelah serangan menanggung kerugian. Namun, karena dana berpindah secara masif setelah serangan dan protokol DeFi pada dasarnya adalah pool likuiditas, hampir mustahil membedakan depositor dari batch berbeda, membuat opsi ini secara teknis tidak dapat dilakukan.
Setiap jalur memiliki kelebihan dan kekurangan: Jalur 1 paling adil namun membebani treasury Aave dan Kelp DAO secara finansial; Jalur 2 meminimalkan dampak di mainnet Aave tetapi merusak kredibilitas ekosistem L2 dan memicu kontagion lanjutan; Jalur 3 secara teori membatasi penyebaran namun hampir mustahil dieksekusi. Per 21 April 2026, meski pendiri Kelp DAO telah berjanji memberikan kompensasi penuh kepada pengguna, rincian rencana dan sumber pendanaan belum diumumkan, dan penyelesaian akhir masih belum pasti.
Kesimpulan
Serangan jembatan Kelp DAO, dengan kerugian tunggal sebesar $292 juta, memicu arus keluar modal sistemik terparah di DeFi sepanjang 2026. TVL di 20 blockchain teratas menurun secara luas, Aave mengalami penarikan dana miliaran dolar, dan berbagai protokol utama mengaktifkan freeze darurat—menggambarkan kontraksi likuiditas di seluruh industri.
Secara fundamental, isu inti insiden ini bukanlah bug smart contract tunggal, melainkan kerentanan gabungan dari salah konfigurasi infrastruktur lintas rantai, cacat logika kolateral restaking, dan keterkaitan protokol yang tinggi. Risiko validasi titik tunggal, ketidakselarasan aset LRT, dan celah audit keamanan terkait konfigurasi membentuk tantangan struktural yang saling terkait.
Dari perspektif keamanan, industri sangat membutuhkan standar audit full-stack yang mencakup kode smart contract, pengaturan parameter deployment, dan arsitektur validasi lintas rantai. Ruang lingkup audit wajib harus meliputi pengaturan threshold DVN dan redundansi node RPC. Bagi pengguna, berpartisipasi dalam protokol restaking seharusnya tidak hanya mempertimbangkan hasil, tetapi juga meneliti konfigurasi keamanan jembatan (seperti jumlah validator dan threshold), transparansi cadangan aset dasar, serta rekam jejak tim protokol dalam menangani insiden keamanan sebelumnya.
Kesehatan jangka panjang DeFi bergantung bukan hanya pada pertumbuhan likuiditas dan yield yang berkelanjutan, tetapi pada peningkatan sistematis infrastruktur keamanan dan mekanisme isolasi risiko. Setiap peristiwa keamanan besar mengungkap kerentanan struktural dan menjadi stress test bagi tata kelola industri serta respons krisis. Kisah lengkap insiden Kelp DAO masih terus berkembang. Efektivitas penanganan dan reformasi kelembagaan pasca-insiden akan menentukan apakah peristiwa ini menjadi momen penting dalam perjalanan DeFi menuju kedewasaan—atau sekadar insiden keamanan yang terlupakan.
