#KelpDAOBridgeHacked

Ekosistem keuangan terdesentralisasi menyaksikan salah satu kegagalan keamanan paling parah hingga saat ini. Kelp DAO, sebuah protokol staking likuiditas terkemuka, mengalami eksploitasi yang menghancurkan yang menargetkan jembatan lintas rantai rsETH-nya. Dalam beberapa menit, sekitar 116.500 rsETH—yang bernilai antara $292 juta dan $293 juta—telah disedot, mewakili hampir 18% dari total pasokan token yang beredar. Insiden ini kini menjadi peretasan DeFi terbesar yang tercatat pada tahun 2026.

Pelanggaraan berasal dari infrastruktur jembatan Kelp DAO, yang mengandalkan sistem pesan lintas rantai LayerZero. Secara khusus, penyerang memanfaatkan fungsi lzReceive dalam kontrak EndpointV2. Dengan merancang dan menyuntikkan pesan lintas rantai palsu, penyerang melewati pemeriksaan verifikasi. Sistem tertipu untuk mengenali pesan tersebut sebagai sah, memicu pelepasan dana yang tidak sah ke dompet yang dikendalikan penyerang.
Yang membuat serangan ini sangat mengkhawatirkan adalah bagaimana ia memanfaatkan perilaku standar protokol daripada kerentanan kompleks. Analis percaya bahwa ketergantungan berlebihan pada konfigurasi default dan lapisan validasi yang tidak memadai dalam sistem pesan memainkan peran penting. Persiapan penyerang juga disengaja—dompet yang digunakan dalam eksploitasi telah didanai melalui Tornado Cash sekitar 10 jam sebelumnya, sebuah taktik yang umum digunakan untuk mengaburkan asal transaksi dan menghambat pelacakan.

Sifat lintas rantai dari jembatan memperbesar kerusakan. Dengan rsETH yang diterapkan di Ethereum mainnet dan beberapa jaringan Layer-2 seperti Arbitrum, eksploitasi dengan cepat menyebar ke seluruh ekosistem. Paparan multi-rantai ini secara signifikan meningkatkan kecepatan dan skala kerugian.
Kelp DAO merespons dengan cepat setelah mendeteksi aktivitas abnormal. Tim segera menghentikan kontrak rsETH di mainnet dan beberapa lingkungan Layer-2, secara efektif mencegah kerugian lebih lanjut yang diperkirakan melebihi $100 juta. Dalam pernyataan awal mereka, mereka mengonfirmasi kolaborasi aktif dengan mitra infrastruktur, auditor, dan ahli keamanan untuk melakukan penyelidikan menyeluruh.

Meskipun respons cepat, konsekuensinya sangat serius. Eksploitasi ini memicu kepanikan luas di pasar DeFi, yang menyebabkan krisis likuiditas. Pengguna bergegas menarik dana, menciptakan efek “bank run” berantai. Platform pinjaman utama, termasuk Aave, menerapkan langkah darurat seperti pembekuan pasar. Sekitar $9 miliar—sekitar sepertiga dari total nilai yang dikunci di Aave—ditarik dalam waktu singkat, menghasilkan kerugian tak tertanggung sekitar $196 juta hingga $236 juta.
Protokol lain, termasuk SparkLend, Fluid, Upshift, dan Morpho, juga mengalami tekanan signifikan. Di seluruh ekosistem yang lebih luas, total nilai yang dikunci turun sekitar $8 miliar hingga $13 miliar dalam 48 jam. Gelombang kejut ini meluas ke luar Ethereum, mempengaruhi kolam likuiditas di rantai lain, termasuk Solana.
Spekulasi muncul mengenai kemungkinan keterlibatan Lazarus Group, sebuah organisasi kejahatan siber yang terkait dengan Korea Utara yang dikenal menargetkan platform kripto. Meskipun beberapa indikator on-chain menunjukkan kemungkinan hubungan, belum ada konfirmasi resmi yang diberikan.

Sementara itu, penyerang telah mulai memindahkan dana, menukar sebagian ke ETH di berbagai jaringan untuk mempersulit pelacakan.
Insiden ini memperkuat kekhawatiran lama dalam DeFi: jembatan lintas rantai tetap menjadi salah satu komponen paling rentan dari infrastruktur blockchain. Meskipun mereka memungkinkan interoperabilitas yang mulus, mereka juga memperkenalkan permukaan serangan yang kritis—terutama ketika mekanisme validasi pesan tidak cukup kuat.

Eksploitasi Kelp DAO menjadi peringatan keras. Ini menyoroti kebutuhan mendesak akan kerangka keamanan yang lebih baik, termasuk sistem verifikasi multi-lapis, logika validasi yang lebih ketat, dan praktik manajemen risiko yang lebih baik. Saat penyelidikan terus berlangsung, industri kini menantikan laporan post-mortem lengkap dari Kelp DAO, yang diharapkan memberikan wawasan lebih dalam tentang kegagalan ini dan merinci langkah-langkah untuk mencegah insiden serupa di masa depan.
📌 Rincian:
https://www.gate.com/announcements/article/50593
‍#GateSquare #CreatorCarnival #ContentMining #Gate13周年