#加密市场行情震荡rsETH PEMBARUAN SERANGAN BAGAIMANA SATU PESAN PALSU MENGHANCURKAN $10 MILAR IN DEFI

SERANGAN YANG MENGUBAH DEFI SELAMANYA

Pada pukul 17:35 UTC tepat pada 18 April 2026, satu pesan silang rantai palsu memicu eksploitasi DeFi terbesar tahun ini. Jembatan rsETH yang didukung LayerZero milik KelpDAO dikuras sebanyak 116.500 rsETH sekitar $292 juta dalam beberapa menit. Tidak ada kontrak pintar yang rusak. Tidak ada kode Solidity yang dieksploitasi. Seluruh serangan terjadi di lapisan tak terlihat antara blockchain, di infrastruktur verifikasi off-chain yang diam-diam diandalkan DeFi tanpa sepenuhnya memahami kerentanannya. Pada saat debu mereda 24 jam kemudian, total nilai DeFi yang terkunci telah runtuh dari $99,5 miliar menjadi $85,21 miliar, kerusakan nilai sebesar $14 miliar dari satu eksploitasi. Ini adalah pembaruan serangan rsETH yang harus dipahami sepenuhnya oleh setiap peserta DeFi.

APAKAH KELPDAO DAN MENGAPA PENTING

KelpDAO adalah protokol restaking cair yang dibangun di atas Ethereum dan EigenLayer. Pengguna menyetor ETH, protokol mengarahkan melalui infrastruktur restaking EigenLayer untuk mendapatkan hasil tambahan di atas imbalan staking standar, dan mengeluarkan rsETH sebagai token tanda terima yang dapat diperdagangkan yang mewakili posisi restaked plus imbalan yang diperoleh. Pada April 2026, rsETH telah melampaui $1 miliar dalam total nilai terkunci dan diintegrasikan sebagai jaminan di sebagian besar pasar pinjaman utama dan platform hasil di DeFi. rsETH aktif di lebih dari 20 jaringan blockchain termasuk Arbitrum, Base, Linea, Mantle, Blast, dan Scroll, menggunakan standar OFT LayerZero untuk berpindah antar rantai. Jembatan yang dikuras menyimpan cadangan yang mendukung setiap rsETH yang dibungkus di seluruh penerapan Layer 2. Ketika jembatan itu dikosongkan, 18% dari seluruh pasokan rsETH yang beredar menjadi tidak didukung secara bersamaan di lebih dari 20 rantai.

BAGAIMANA SERANGAN DILAKUKAN PENJELASAN TEKNIS

Serangan ini bukan hack kontrak pintar. Setiap transaksi di blockchain tampak sepenuhnya valid. Tanda tangan diverifikasi. Pesan diformat dengan benar. Eksploitasi ini terhadap lapisan infrastruktur off-chain — khususnya jaringan Verifier Terdesentralisasi LayerZero, sistem yang mengonfirmasi apakah pesan silang rantai sah sebelum rantai tujuan bertindak atasnya.

Jembatan rsETH milik KelpDAO menggunakan konfigurasi DVN 1-dari-1. Ini berarti hanya satu entitas, DVN LayerZero Labs, yang diperlukan untuk memverifikasi dan menyetujui pesan silang rantai. Tidak ada verifier kedua, tidak ada konfirmasi independen, tidak ada redundansi. Satu verifier. Satu titik kegagalan.

Kelompok Lazarus, unit peretasan yang didukung negara dari Korea Utara, mengidentifikasi celah ini dan melaksanakan serangan infrastruktur tiga bagian. Pertama, mereka mengompromikan dua node RPC internal yang memberi data pasar ke verifier LayerZero, meracuni aliran data dengan informasi palsu. Kedua, mereka meluncurkan serangan DDoS terhadap node cadangan bersih, memaksa sistem gagal beralih ke infrastruktur yang sudah dikompromikan. Ketiga, dengan verifier yang kini berjalan sepenuhnya di node yang diracuni, mereka menyuntikkan nonce pesan silang rantai LayerZero palsu 308 yang memberi tahu kontrak jembatan Ethereum bahwa pembakaran yang valid telah terjadi di rantai sumber, memicu pelepasan 116.500 rsETH ke dompet yang dikendalikan penyerang. Operasi ini menggunakan dompet yang sudah didanai sebelumnya melalui Tornado Cash sekitar 10 jam sebelum serangan, mengonfirmasi bahwa ini adalah operasi tingkat negara yang direncanakan jauh hari dan bukan eksploitasi oportunistik.

Dalam hitungan menit, penyerang menyetor rsETH yang dicuri sebagai jaminan di Aave dan meminjam lebih dari $236 juta WETH terhadapnya menggunakan token yang tidak didukung sebagai jaminan untuk pinjaman nyata. Pencurian $292 juta itu berubah menjadi penarikan $236 juta WETH sebelum sebagian besar pengguna menyadari bahwa sesuatu telah terjadi.

RESPON 46 MENIT YANG MENYELAMATKAN $100 JUTA

Tim tanggap darurat KelpDAO mengidentifikasi serangan dan mengaktifkan multisig penghenti darurat pada pukul 18:21 UTC tepat 46 menit setelah drain awal. Pause seluruh protokol membekukan deposit, penarikan, dan token rsETH di seluruh mainnet dan semua penerapan L2. Pada pukul 18:26 UTC dan 18:28 UTC, dua upaya drain lanjutan oleh penyerang masing-masing menargetkan tambahan 40.000 rsETH senilai sekitar $100 juta, keduanya dibatalkan terhadap kontrak yang dibekukan. Jendela respons 46 menit ini adalah perbedaan antara eksploitasi $292 juta dan bencana $492 juta. Tindakan cepat tim tanggap darurat KelpDAO adalah satu-satunya alasan kerusakan tidak hampir dua kali lipat.

PENYEBARAN YANG MELANDA DEFI

Kerusakan hilir bergerak lebih cepat daripada yang bisa dikendalikan oleh pause darurat. Aave, protokol pinjaman terbesar di DeFi dengan lebih dari $20 miliar nilai terkunci, membekukan pasar rsETH di V3 dan V4 dalam beberapa jam. Utilisasi ETH di Aave sempat melonjak ke 100% saat pengguna bergegas menarik dana. Token AAVE turun sekitar 10-20% saat trader memperhitungkan potensi eksposur utang buruk. SparkLend dan Fluid membekukan pasar rsETH mereka. Lido Finance menghentikan sementara deposit ke produk earnETH-nya karena eksposur rsETH. Ethena sementara menghentikan sementara jembatan LayerZero OFT dari Ethereum mainnet sebagai langkah pencegahan. Total TVL DeFi runtuh dari $99,5 miliar menjadi $85,21 miliar dalam satu hari, $14 miliar dihapus dari seluruh ekosistem oleh satu eksploitasi di satu jembatan.
Analisis insiden Aave menemukan bahwa eksploitasi menciptakan jaminan tidak didukung yang digunakan untuk meminjam sekitar $190 juta, meninggalkan protokol menghadapi potensi utang buruk antara $123 juta dan $230 juta tergantung bagaimana KelpDAO mengalokasikan kekurangan tersebut di antara pemegang rsETH.

ATASAN GROUP LAZARUS

Ini bukan hack acak. LayerZero secara resmi mengaitkan serangan ini ke Lazarus Group dari Korea Utara, unit peretasan yang didukung negara yang sama dengan eksploit Drift $285 juta pada 1 April 2026, dan puluhan pencurian kripto sebelumnya yang totalnya miliaran dolar selama beberapa tahun. Lazarus Group adalah operasi peretasan kripto paling produktif dan secara teknis paling canggih di dunia, dan keterlibatan mereka dalam dua dari tiga eksploitasi DeFi terbesar tahun 2026 dalam 18 hari mengonfirmasi kampanye sistematis dan terkoordinasi yang menargetkan infrastruktur DeFi di lapisan infrastruktur, bukan lapisan kontrak.

PEMBEKUAN DARURAT ARBITRUM YANG TAK PERNAH DILAKUKAN

Pada 21 April 2026, tiga hari setelah eksploitasi, Dewan Keamanan Arbitrum melaksanakan intervensi darurat paling signifikan dalam sejarah Layer 2. Dewan yang terdiri dari 12 anggota ini, beroperasi di bawah multisig 9-dari-12, menyita 30.766 ETH dari alamat penyerang di Arbitrum One dan mentransfernya ke dompet perantara yang dibekukan. Transfer selesai pukul 23:26 ET pada 21 April. Dana tersebut tidak dapat dipindahkan lagi tanpa voting resmi dari tata kelola Arbitrum. Intervensi ini memulihkan sekitar $71,15 juta, sekitar 29% dari ETH yang dikumpulkan penyerang di Arbitrum. Sisa 75.701 ETH senilai sekitar $175 juta di Ethereum mainnet sudah dipindahkan dan sedang dicuci melalui Thorchain dan alat privasi lainnya sebelum freeze diperpanjang.

Pembekuan ini memicu perdebatan langsung tentang desentralisasi. Jika dewan 12 orang dapat membekukan aset di Arbitrum, apa artinya bagi jaminan kepemilikan tanpa izin yang dijanjikan Layer 2? Pendukung menyebutnya DeFi membela diri dari kejahatan yang didukung negara. Kritikus menyebutnya bukti bahwa Arbitrum pada akhirnya hanyalah dompet multisig dengan kekuasaan untuk mengesampingkan kontrol aset pengguna.

PERANG SALAH PERSENANGAN ANTARA LAYERZERO DAN KELPDAO

Periode pasca-eksploitasi menghasilkan sengketa publik penuh antara LayerZero dan KelpDAO tentang siapa yang bertanggung jawab. LayerZero merilis post-mortem menyatakan bahwa KelpDAO memilih konfigurasi DVN 1-dari-1 meskipun ada rekomendasi eksplisit untuk mengadopsi redundansi multi-verifier, dan mengumumkan akan segera berhenti menandatangani pesan untuk aplikasi yang menjalankan setup verifier tunggal, memaksa migrasi luas di semua integrasi LayerZero.

KelpDAO membalas, mengklaim bahwa konfigurasi 1-dari-1 adalah pengaturan default yang dikirim LayerZero untuk deployment baru, bahwa dokumentasi dan kode deployment publik LayerZero mempromosikan verifikasi sumber tunggal, dan bahwa infrastruktur yang dikompromikan, node RPC dan server DVN, dibangun dan dioperasikan sepenuhnya oleh LayerZero, bukan Kelp. Peneliti keamanan sebagian mendukung Kelp, dengan pengembang terkemuka banteg merilis tinjauan teknis yang mengonfirmasi bahwa kode deployment referensi LayerZero dikirim dengan verifikasi sumber tunggal sebagai default di seluruh rantai utama.

Hasilnya adalah kebuntuan pembagian kerusakan tanpa resolusi yang jelas. Kedua pihak berjanji melakukan post-mortem akar penyebab secara lengkap. Pertanyaan yang lebih dalam apakah setiap aplikasi OFT 1-dari-1 yang berjalan di LayerZero saat ini rentan terhadap jenis serangan yang sama masih belum terjawab.

APA ARTINYA UNTUK DEFI KE DEPAN

Eksploitasi KelpDAO bukan sekadar hack lain. Ini adalah peristiwa yang mendefinisikan kategori yang mengungkapkan celah struktural di seluruh ekosistem DeFi silang rantai. Serangan ini berada dalam keluarga sejarah yang sama dengan kegagalan jembatan Ronin dan Nomad di mana titik verifikasi pusat menjadi target bernilai tinggi. Tapi ini lebih jauh lagi, karena kontrak di on-chain tidak pernah tersentuh. Setiap transaksi di on-chain valid. Kegagalan terjadi di infrastruktur off-chain yang tak terlihat yang telah diperlakukan DeFi sebagai masalah yang terselesaikan selama bertahun-tahun.

Pelajarannya jelas dan langsung. Konfigurasi DVN multi-verifier kini menjadi keharusan untuk setiap jembatan yang menyimpan nilai signifikan. Audit konfigurasi yang meninjau pengaturan deployment, bukan hanya kode kontrak pintar, harus menjadi praktik standar. Pemantauan invariant silang rantai yang terus-menerus memverifikasi token yang dirilis di rantai tujuan cocok dengan token yang dibakar di rantai sumber adalah standar minimum baru untuk keamanan jembatan. Dan pertanyaan tentang bagaimana DeFi menangani operasi peretasan yang didukung negara dengan sumber daya dan kesabaran seperti pemerintah nasional masih belum memiliki jawaban yang bersih.

Pencurian $292 juta. Kerusakan TVL $14 miliar. Potensi utang buruk Aave $230 juta. 30.766 ETH yang dibekukan oleh Arbitrum. Atribusi Lazarus Group. Semuanya menunjuk pada satu kesimpulan: lapisan infrastruktur silang rantai DeFi adalah permukaan paling kurang terlindungi di seluruh ekosistem, dan hacker paling canggih di dunia telah mengidentifikasi fakta itu dan secara sistematis mengeksploitasinya.

Serangan rsETH bukanlah peringatan. Itu adalah vonis. Perbaiki lapisan infrastruktur, atau kehilangan semua yang berada di atasnya.

#rsETHAttackUpdate