#rsETHAttackUpdate

Kelp DAO Bridge Diretas, Kejutan Senilai 10 Miliar Dolar untuk DeFi
Pada Sabtu, 18 April 2026, pasar kripto terkena serangan DeFi terbesar tahun ini. Peretas menguras tepatnya 116.500 rsETH, senilai sekitar 292 juta dolar, dari jembatan yang didukung LayerZero yang memindahkan token rsETH Kelp DAO antar rantai. Eksploitasi terjadi dalam satu transaksi pukul 17:35 UTC. Para penyerang menipu jembatan dengan paket LayerZero palsu dan mengosongkan rsETH.
Apa yang Terjadi? Penjelasan Teknis
Kerentanan DVN Tunggal: Rute jembatan Unichain ke Ethereum berjalan dengan pengaturan DVN 1 dari 1, artinya hanya satu verifier yang aktif. Penyerang memanipulasi node RPC, membuat paket palsu, dan verifier tunggal menandatanganinya.
Jembatan Dikuras: Adapter OFT di Ethereum memegang 116.723 rsETH. Setelah serangan, saldo turun menjadi 223 rsETH hanya dalam satu blok.
Ke Mana Uang Pergi: Dari rsETH yang dicuri, 89.567 didepositkan ke Aave V3 sebagai jaminan. Peretas kemudian meminjam 82.650 WETH dan 821 wstETH terhadapnya. Faktor kesehatan berada di antara 1,01 dan 1,03, sehingga posisi tersebut berada di ambang likuidasi.
Tim Kelp DAO mengaktifkan multisig darurat dan menghentikan semua kontrak dalam waktu 46 menit. Jika mereka tidak bertindak, penyerang bisa menarik lagi 40.000 rsETH dan menambah kerugian total menjadi 391 juta dolar.
Dampak pada Pasar Kripto: Bagaimana Rantai Domino Terjatuh
1. Krisis Likuiditas di Aave
Aave memegang 83 persen dari total pasokan rsETH. Dengan peretas yang memposting jaminan dan meminjam, Aave tiba-tiba terpapar potensi utang buruk antara 124 dan 230 juta dolar.
Hasil:
TVL Aave turun dari 45 miliar menjadi 30 miliar dolar dalam tiga hari, penurunan 33 persen.
Pengguna panik dan menarik dana. Sekitar 10,1 miliar dolar aset keluar dari protokol.
Suku bunga pinjaman ETH melonjak dari 2 persen menjadi 8 persen, tertinggi sejak setidaknya Januari 2024.
Suku bunga pinjaman USDT dan USDC melonjak dari 3,4 persen menjadi 14 persen.
Aave membekukan pasar rsETH dan wrsETH di 11 jaringan termasuk Ethereum, Arbitrum, Avalanche, Base, Linea, dan Mantle.
2. Pergerakan Harga dan Penurunan TVL
Token AAVE kehilangan antara 15 dan 18 persen nilainya.
TVL DeFi secara keseluruhan turun dari 99 miliar menjadi 89 miliar dolar pada 18 April, menghapus 10 miliar dolar.
Justin Sun menarik 65.580 ETH dalam satu transaksi, sekitar 154 juta dolar.
3. Reaksi Berantai
SparkLend dan Fluid juga menutup pasar rsETH mereka. Lido menghentikan deposit baru ke produk terkait rsETH. Infrastruktur relay tetap berjalan, tetapi penarikan vault terhenti karena jaminan yang terikat di pasar WETH Aave.
Siapa yang Bertanggung Jawab? Semua Mata Mengarah
LayerZero menunjuk ke Kelompok Lazarus. Laporan RWATimes menyoroti subkelompok TraderTraitor mereka. Dompet penyerang didanai melalui Tornado Cash.
Detail penting: Menurut Llamarisk dan laporan Aave, kontrak Aave sendiri tidak dikompromikan. Masalah sepenuhnya ada di konfigurasi jembatan Kelp DAO.
Rencana Pemulihan: Garis Penolong 30.000 ETH
Mantle mengusulkan pinjaman hingga 30.000 ETH ke Aave DAO untuk menutupi utang buruk. Jangka waktu pinjaman selama 36 bulan dengan tingkat bunga yield Lido ditambah 1 persen. Stani Kulechov mengumumkan dukungan dengan frasa DeFi United.
Kelp DAO berhasil memulihkan 40.373 rsETH. Itu hanya mencakup 26 persen dari permintaan 152.577 rsETH di seluruh L2. Versi mainnet dari rsETH saat ini tidak terpengaruh karena didukung langsung oleh staking.
Tiga Pelajaran dari Insiden Ini
1. Keamanan Jembatan Sama dengan Keamanan DeFi: Menjalankan DVN verifier tunggal berarti mempercayai paket senilai 292 juta dolar kepada satu pihak. Proyek yang menggunakan LayerZero sekarang kemungkinan akan membutuhkan pengaturan multi DVN dan verifier opsional.
2. Risiko Sistemik dalam LRT: Ketika token restaking likuid seperti rsETH terkonsentrasi di protokol besar seperti Aave, satu eksploitasi dapat mengguncang seluruh pasar. Memiliki 83 persen di satu protokol terlalu banyak paparan.
3. Orakel Ketinggalan Zaman: Selama peretasan, Aave masih mematok rsETH mendekati patokan dan mengizinkan pinjaman 106.467 ETH. Eksploitasi jembatan tidak tercermin cukup cepat dalam feed harga.
Apa yang Terjadi Selanjutnya
Dalam jangka pendek, versi rsETH di L2 akan tetap tidak likuid. 40.373 rsETH di jembatan tidak cukup untuk menutupi semua rsETH di L2. Itu berarti rsETH di Arbitrum, Base, dan Mantle akan berperilaku seperti tanda terima tanpa vault untuk sementara waktu.
Dalam jangka menengah, jika utang buruk Aave dilunasi melalui pinjaman Mantle dan pembayaran kembali Kelp DAO, kepercayaan bisa kembali. Regulator kemungkinan akan memeriksa standar jembatan dengan lebih ketat. Seperti yang dilaporkan Al Jazeera Economy, serangan ini adalah bagian dari tren meningkatnya pelanggaran keamanan DeFi di tahun 2026.
Pemikiran Akhir
#rsETHAttackUpdate tidak hanya menyerang Kelp DAO. Kehilangan 10 miliar dolar oleh Aave menunjukkan betapa saling terkaitnya seluruh DeFi. Ke depan, pertanyaan tentang siapa yang mengaudit jembatan akan menjadi lebih penting daripada berapa APY yang didapat.
Tetap ikuti, karena masih belum jelas bagaimana Kelp DAO akan mendistribusikan kembali 40.373 rsETH yang dipulihkan. Keputusan itu akan menentukan kerugian bagi pemegang rsETH di L2.