Kelp DAO, protokol restaking aset likuiditas milik Ethereum, pada 26 Mei mengonfirmasi di X bahwa bagian operasional dari rencana pemulihan rsETH telah selesai secara resmi. Batch terakhir sebanyak 20.373,70 rsETH telah dikirim ke kontrak pintar LayerZero, dan operasi pencetakan (minting), penebusan (redemption), serta insentif rsETH telah dikonfirmasi berjalan normal, mengakhiri dampak serangan kelompok peretas terkait Korea Utara Lazarus Group.
Mekanisme Serangan: Bagaimana celah validator tunggal LayerZero 1/1 dieksploitasi
Sistem jembatan lintas rantai (cross-chain) rsETH milik Kelp DAO menggunakan protokol LayerZero, dikonfigurasi sebagai 1/1 DVN (jaringan validasi terdesentralisasi, hanya memerlukan satu validator untuk mengonfirmasi transaksi). Lazarus Group memanfaatkan desain single point of failure ini: penyerang menguasai dua node RPC yang memasok data ke pihak validasi protokol, sekaligus melancarkan serangan DDoS terhadap endpoint RPC yang sah, memaksa sistem jembatan bergantung pada node yang telah diretas. Dengan cara ini, penyerang memalsukan pesan lintas rantai, menipu kontrak Ethereum agar melepas 116.500 rsETH ketika rsETH di rantai sumber tidak dihancurkan secara sah. LayerZero sebelumnya telah memperingatkan risiko keamanan dari konfigurasi 1/1 DVN.
Setelah mendeteksi serangan, Kelp DAO segera menjeda kontrak rsETH dan menambahkan alamat dompet penyerang ke daftar hitam, mencegah upaya pencurian kedua tambahan 40.000 rsETH. Komite Keamanan Arbitrum membekukan sekitar 30.766 ETH terkait penyerang (sekitar 71 juta dolar AS), namun setelah itu Lazarus Group diduga telah memindahkan 175 juta dolar AS senilai ETH ke alamat baru.
Garis Waktu Pemulihan yang Telah Dikonfirmasi selama Lima Minggu
18 April: Terjadi serangan Lazarus Group, 116.500 rsETH dicuri (sekitar 293 juta dolar AS); Kelp DAO menjeda kontrak rsETH, mencegah serangan kedua
13 Mei: Transfer batch pertama sebanyak 25.000 rsETH selesai, jembatan rsETH antara mainnet Ethereum dan Layer 2 dibuka kembali
14 Mei: Fitur penarikan (withdrawal) rsETH dibuka kembali
26 Mei: Batch terakhir 20.373,7 rsETH dikirim ke kontrak pintar LayerZero; Kelp DAO mengonfirmasi bagian operasional dari rencana pemulihan telah selesai secara resmi; operasi minting, redemption, dan insentif rsETH berjalan normal
Pertanyaan yang Sering Diajukan
Apa mekanisme serangan Kelp DAO yang menyebabkan Aave mengalami piutang buruk senilai 190 juta dolar AS?
Penyerang memanfaatkan celah jembatan LayerZero untuk mendapatkan 116.500 rsETH tanpa biaya, lalu memasukkan rsETH “tanpa biaya” tersebut sebagai jaminan ke platform pinjaman Aave, meminjam sejumlah besar wETH (ETH yang dibungkus). Ketika Kelp DAO menjeda kontrak rsETH, nilai pasar rsETH dan kemampuannya untuk ditebus dipertanyakan. Banyak penyedia likuiditas mulai menarik dana dari Aave, sementara jaminan rsETH yang disetorkan penyerang pada kenyataannya telah berubah menjadi piutang buruk yang tidak dapat dipulihkan. Piutang buruk senilai 190 juta dolar AS secara langsung menekan TVL Aave, memicu kepanikan likuiditas yang lebih luas. Setelah peristiwa itu, TVL Aave turun dari 26,4 miliar dolar AS menjadi di bawah 14 miliar dolar AS, kehilangan posisi sebagai protokol DeFi dengan TVL terbesar di dunia.
Bagaimana inisiatif DeFi United menyediakan dana untuk pemulihan rsETH, dan apa mekanisme suntikan dana bersama oleh banyak protokol?
DeFi United adalah inisiatif darurat gabungan yang melibatkan beberapa protokol DeFi. Dalam pemulihan ini, inisiatif tersebut mengoordinasikan suntikan dana dari beberapa protokol untuk menutup kekurangan dana on-chain yang diperlukan guna mendukung pemulihan rsETH sepenuhnya milik Kelp DAO. Daftar lengkap sumber dana dan proporsi kontribusi masing-masing protokol belum diungkapkan secara rinci dalam pernyataan publik Kelp DAO. Pola koordinasi pendanaan lintas-protokol ini mirip dengan mekanisme darurat gabungan industri yang muncul setelah serangan Euler Finance dan protokol DeFi lainnya sebelumnya, yaitu praktik baru dalam ekosistem DeFi untuk menghadapi serangan peretasan besar melalui cara yang terdesentralisasi.
Data latar belakang apa yang ada terkait gelombang serangan DeFi pada April 2026?
Data dari DefiLlama dan lembaga pemantauan keamanan on-chain mengonfirmasi: pada April 2026 terjadi 25 insiden peretasan kripto, dengan kerugian total sekitar 630 juta dolar AS. Ini merupakan bulan dengan kerugian bulanan paling parah sejak Februari 2025 ketika Bybit diretas (1,5 miliar dolar AS, mencatat rekor kerugian terbesar untuk satu kali peretasan). Kelp DAO dengan 293 juta dolar AS adalah yang terbesar untuk satu kali kebocoran DeFi hingga saat ini sepanjang 2026. Data sepanjang masa dari DefiLlama menunjukkan bahwa selama sepuluh tahun terakhir, peretasan kripto telah mengakumulasi pencurian lebih dari 17 miliar dolar AS. Celah jembatan lintas rantai menempati posisi utama dalam serangan-serangan terbesar hingga 2026 (termasuk kasus Kelp DAO, Map Protocol Butter Bridge, dan Verus Bridge).
