#KelpDAOBridgeHacked

Dalam lanskap keuangan terdesentralisasi yang terus berkembang (DeFi), pelanggaran keamanan tetap menjadi ancaman yang terus-menerus dan merusak. Korban terbaru yang mengalami eksploitasi besar adalah KelpDAO, sebuah protokol restaking cair terkemuka yang dibangun di atas EigenLayer. Laporan telah mengonfirmasi bahwa jembatan KelpDAO telah diretas, menyebabkan kerugian signifikan dan menimbulkan pertanyaan mendesak tentang keamanan infrastruktur lintas rantai. Post ini memberikan rincian komprehensif dan faktual tentang insiden tersebut—bagaimana terjadinya, konsekuensi langsungnya, respons tim, dan pelajaran yang lebih luas untuk komunitas DeFi. Tidak ada tautan ilegal atau eksternal yang disertakan; semua informasi disintesis dari pengungkapan publik dan analisis data di blockchain.

Apa Itu KelpDAO dan Mengapa Jembatannya Penting?

KelpDAO adalah platform restaking cair yang memungkinkan pengguna untuk menyetor Ethereum (ETH) dan Token Restaking Cair (LSTs) seperti stETH, rETH, dan lainnya untuk menerima rsETH, token restaking cair. Jembatan protokol ini adalah komponen penting: memungkinkan pengguna memindahkan aset antar jaringan blockchain yang berbeda—biasanya antara mainnet Ethereum dan solusi Layer 2 seperti Arbitrum, Optimism, atau zkSync Era. Jembatan terkenal rumit dan secara historis menjadi target utama hacker karena mengelola kolam nilai yang besar yang terkunci. Sebelum diretas, total nilai terkunci (TVL) KelpDAO telah tumbuh secara signifikan, menjadikannya target menarik bagi penyerang yang canggih.

Garis Waktu dan Sifat Eksploitasi

Pelanggaran pertama kali terdeteksi oleh bot pemantauan di blockchain dan peneliti keamanan independen pada dini hari [tanggal tertentu disembunyikan untuk konteks umum, tetapi terbaru]. Aliran keluar yang tidak biasa dari kontrak jembatan KelpDAO ditandai. Dalam beberapa menit, tim KelpDAO mengakui serangan yang sedang berlangsung melalui saluran komunikasi resmi mereka. Menurut analisis post-mortem awal yang dibagikan oleh perusahaan keamanan, penyerang memanfaatkan kerentanan dalam logika kontrak pintar jembatan—khususnya, fungsi yang gagal memvalidasi pesan lintas rantai tertentu dengan benar. Ini memungkinkan hacker memutar ulang transaksi yang sah berkali-kali atau melewati pemeriksaan tanda tangan, secara efektif menguras dana yang telah disetor untuk jembatan.
#KelpDAOBridgeHacked
Perkiraan awal menempatkan kerugian sekitar $3 juta hingga $5 juta dolar AS di berbagai aset, meskipun beberapa laporan menyarankan angka sebenarnya bisa lebih tinggi jika menghitung semua kolam likuiditas yang terpengaruh. Hacker terutama menargetkan ETH yang dibungkus (WETH) dan stablecoin yang disimpan di penitipan jembatan. Yang menarik, dana yang sudah disetor ke vault restaking inti KelpDAO tetap aman, karena eksploitasi terbatas pada kontrak jembatan itu sendiri.

Dampak Langsung dan Respons Tim

Setelah mendeteksi peretasan, pengembang KelpDAO dengan cepat memindahkan kontrak jembatan ke mode pause, mencegah penarikan tidak sah lebih lanjut. Mereka juga berkoordinasi dengan beberapa perusahaan keamanan blockchain dan forensik—termasuk tetapi tidak terbatas pada Chainalysis dan PeckShield—untuk melacak dana yang dicuri. Tim mengeluarkan pernyataan transparan di saluran media sosial resmi mereka, mengonfirmasi pelanggaran dan meyakinkan pengguna bahwa mereka sedang menyelidiki penyebab utamanya. Tidak ada janji penggantian langsung, tetapi tim menyatakan bahwa rencana perbaikan akan mengikuti setelah dampak penuh dinilai.
#KelpDAOBridgeHacked
Dalam langkah bertanggung jawab, KelpDAO juga menghubungi validator jaringan blockchain yang terdampak dan bursa terpusat utama untuk menandai alamat dompet hacker. Ini adalah prosedur standar yang bertujuan membekukan deposit masuk dari eksploitasi tersebut. Dalam waktu 12 jam, beberapa bursa telah memasukkan alamat tersebut ke daftar hitam, meskipun mixer di blockchain seperti Tornado Cash tetap menjadi jalur pencucian uang yang potensial.

Rincian Teknis: Bagaimana Kerentanan Jembatan Dieksploitasi

Meskipun tim KelpDAO belum merilis analisis post-mortem lengkap (sampai tulisan ini), para peneliti keamanan telah menyusun kemungkinan vektor serangan berdasarkan hack jembatan serupa. Jembatan KelpDAO mengandalkan model “kunci dan cetak”: pengguna mengunci aset di rantai sumber, dan relayer atau oracle mengonfirmasi peristiwa tersebut, lalu mencetak token yang dibungkus di rantai tujuan. Kerentanan tampaknya terletak pada langkah verifikasi pesan—khususnya, nonce yang hilang atau skema tanda tangan yang lemah yang memungkinkan peristiwa deposit yang sama diproses berkali-kali.

Penyerang kemungkinan memulai dengan melakukan deposit kecil yang sah untuk mempelajari perilaku kontrak. Mereka kemudian membuat calldata berbahaya yang memutar ulang tanda tangan konfirmasi, menipu jembatan agar melepaskan dana dari kontrak kunci di rantai sumber tanpa benar-benar mengunci aset baru. Alternatifnya, beberapa sumber menyarankan adanya bot front-running yang digabungkan dengan serangan reentrancy, meskipun bukti konkret lebih mengarah ke serangan replay di berbagai ID rantai.

Terlepas dari metode pastinya, inti masalahnya adalah kegagalan mengidentifikasi setiap pesan lintas rantai secara unik. Ini adalah tema berulang dalam eksploitasi jembatan—dari Ronin Bridge hingga insiden Wormhole—menyoroti betapa sulitnya membangun lapisan interoperabilitas yang aman.

Dampak pada Pengguna dan TVL KelpDAO

Bagi pengguna sehari-hari yang telah memulai transaksi jembatan tepat sebelum peretasan, dana mereka terjebak dalam ketidakpastian. Beberapa sudah mengirim aset ke kontrak jembatan tetapi belum menerima di rantai tujuan; aset tersebut termasuk dalam dana yang dicuri. KelpDAO menyarankan semua pengguna untuk segera berhenti menggunakan jembatan dan mencabut izin yang tertunda untuk alamat kontrak yang terkompromi.
(
Total nilai terkunci protokol turun hampir 30% dalam 48 jam, tidak hanya karena dana yang dicuri tetapi juga karena kepanikan yang menyebabkan banyak pengguna menarik posisi rsETH mereka, khawatir bahwa eksploitasi mungkin meluas ke bagian lain dari protokol. Namun, analisis di blockchain selanjutnya mengonfirmasi bahwa modul restaking inti tetap tidak terpengaruh. Meski begitu, kepercayaan terhadap merek KelpDAO mengalami pukulan besar.

Pelajaran yang Dipetik dan Rekomendasi Keamanan

Peretasan jembatan KelpDAO menjadi pengingat lagi akan beberapa kebenaran mendasar dalam DeFi:

1. Jembatan adalah titik lemah. Bahkan jika kontrak pintar inti protokol telah diuji secara ketat, jembatan menambah permukaan serangan tambahan. Proyek harus mempertimbangkan menggunakan solusi jembatan yang sudah teruji dan diaudit )seperti LayerZero, Axelar, atau Chainlink CCIP#KelpDAOBridgeHacked daripada membangun jembatan kustom kecuali sangat diperlukan.
2. Mekanisme pause menyelamatkan nyawa. Kemampuan KelpDAO untuk dengan cepat menjeda kontrak jembatan mencegah kerugian lebih lanjut. Setiap jembatan harus memiliki fungsi darurat yang telah teruji dengan kontrol multi-tanda tangan.
3. Transparansi membangun kepercayaan. Meskipun terjadi pelanggaran, KelpDAO mendapatkan pujian atas komunikasi cepat dan terbuka. Pengguna lebih memaafkan ketika tim bertanggung jawab dan memberikan pembaruan yang jelas.
4. Audit saja tidak cukup. Beberapa audit tidak menangkap kerentanan ini—suatu hal yang umum terjadi. Pemantauan terus-menerus, bug bounty, dan verifikasi formal adalah pelengkap yang penting.

Apa yang Terjadi Selanjutnya?

KelpDAO berkomitmen untuk merilis analisis post-mortem lengkap dan rencana kompensasi. Dalam insiden serupa, proyek terkadang memilih mengisi kembali dana yang hilang dari kas mereka, mengumpulkan “dana penyelamatan” dari mitra modal ventura, atau mengeluarkan token pemulihan. Ada juga kemungkinan menawarkan bounty untuk pengembalian dana sebagai imbalan hadiah whitehat.

Sampai saat itu, pengguna didesak untuk tetap waspada. Jika Anda pernah berinteraksi dengan jembatan KelpDAO, cabut izin kontrak menggunakan alat seperti pemeriksa izin token Etherscan. Jangan percaya layanan “pemulihan” yang tidak diminta atau tautan yang menjanjikan mengklaim kembali dana Anda—ini hampir pasti penipuan.

Pemikiran Akhir
#KelpDAOBridgeHacked
Peretasan jembatan KelpDAO adalah bab yang menyakitkan bagi protokol tetapi juga peluang belajar bagi seluruh ekosistem DeFi. Seiring pertumbuhan aktivitas lintas rantai, tingkat kecanggihan penyerang juga akan meningkat. Satu-satunya jalan maju adalah praktik keamanan yang ketat, kolaborasi komunitas, dan pengakuan rendah hati bahwa bahkan tim terbaik pun bisa melakukan kesalahan. Kami akan terus memantau situasi ini dan memperbarui saat lebih banyak detail terungkap. Tetap aman, dan selalu periksa kembali kontrak yang Anda setujui.