KuCoin
Masuk
language_currency
Halaman Utama
Blog
Crypto Report
Rincian
img

Eksploitasi KelpDAO rsETH: Bagaimana Serangan Jembatan LayerZero $292J menciptakan Utang Buruk $177J di Aave

2026/04/20 10:30:03

Eksploitasi KelpDAO rsETH: Bagaimana Serangan Jembatan LayerZero $292J menciptakan Utang Buruk $177J di Aave

Pengantar

Apa yang terjadi ketika satu titik kegagalan di sebuah jembatan lintas-rantai menjadi masalah senilai $292 juta?
 
Pada 18 April 2026, industri mata uang kripto mendapatkan jawabannya secara real time. KelpDAO, sebuah protokol liquid restaking, diserang dan kehilangan 116.500 rsETH senilai sekitar $292 juta melalui kerentanan di jembatan berbasis LayerZero-nya. Serangan ini tidak hanya mencuri token—tetapi juga menciptakan utang buruk sekitar $177 juta yang kini tercatat di buku Aave, membuat para deposan panik dan komunitas DeFi bertanya-tanya apakah era keuangan lintas rantai memiliki masalah kepercayaan mendasar.
 

Apa itu KelpDAO dan rsETH? Memahami Ruang Liquid Restaking

KelpDAO adalah protokol restaking cair yang dibangun di atas EigenLayer, memungkinkan pengguna untuk melakukan staking ETH melalui protokol ini dan menerima rsETH (ETH yang di-staking ulang) sebagai token cair yang mewakili posisi staking mereka. Konsep ini—restaking cair—memungkinkan pengguna untuk mempertahankan likuiditas sambil tetap mendapatkan imbalan staking, menggabungkan imbalan dari staking asli dengan fleksibilitas token yang dapat diperdagangkan.
 
Token rsETH menjadi populer karena dapat digunakan sebagai jaminan di protokol DeFi. Pengguna melakukan staking ETH melalui KelpDAO, menerima rsETH, lalu menggunakan rsETH tersebut untuk meminjam aset lain di berbagai rantai. Masalahnya? Fungsionalitas lintas rantai ini bergantung pada teknologi jembatan LayerZero, khususnya konfigurasi 1-of-1 DVN (Data Verification Network) yang ternyata menjadi titik kegagalan tunggal.
 
Untuk pemula di DeFi, konsepnya sederhana. KelpDAO menjanjikan pengguna bisa mendapatkan imbalan staking sementara ETH mereka tetap dapat digunakan di protokol lain. Eksekusinya bergantung pada kepercayaan terhadap infrastruktur jembatan—kepercayaan yang runtuh pada 18 April ketika satu validator yang diretas memungkinkan penyerang mencetak rsETH tanpa jaminan. Penyerang tidak membobol blockchain itu sendiri—mereka memanipulasi sistem verifikasi pesan yang memberi tahu satu rantai bahwa token tersebut ada di rantai lain.
 

The April 18, 2026 Exploit: How the Attack Unfolded

Eksploitasi berlangsung dalam beberapa tahap selama sekitar 46 menit, menurut laporan insiden. Dimulai pada pukul 18:52 UTC pada 18 April 2026, penyerang memanfaatkan kelemahan pada konfigurasi jembatan LayerZero KelpDAO — khususnya, DVN 1/1 (verifikasi penandatangan tunggal) yang memvalidasi pesan lintas rantai.
 
Berikut adalah apa yang terjadi secara teknis: 
 
 
Fase Aksi Dampak
1 Penyerang mengidentifikasi kerentanan 1-dari-1 DVN Titik kegagalan tunggal terungkap
2 Mencetak 116.500 rsETH tanpa jaminan ~18% dari pasokan yang beredar
3 Jembatani rsETH di lebih dari 20 rantai Aset terjebak secara global
4 Setor rsETH sebagai jaminan di Aave V3 Meminjam 126.000 WETH
5 Menjalankan keluar sebelum jeda darurat $292 juta dicuri
 
 
Penyerang memberikan rsETH yang dicuri sebagai jaminan di Aave V3 dan meminjam sekitar 126.000 WETH (senilai sekitar $236 juta pada saat itu). Ini menciptakan utang buruk segera—Aave sekarang memegang rsETH yang nilainya jauh lebih rendah daripada WETH yang telah dipinjamkan.
 
Para peneliti keamanan mencatat bahwa terdapat jendela 46 menit antara saat aktivitas mencurigakan dimulai dan saat protokol dihentikan. Jika penghentian terjadi lebih awal, tambahan $200 juta dalam aset yang mungkin dibridging dapat dicegah. Penundaan ini terbukti sangat mahal.
 

Krisis Utang Buruk Aave: $177 Juta dan Terus Bertambah

Dampak dari eksploitasi ini menciptakan krisis yang jauh lebih besar daripada pencurian awal. Aave’s WETH pool kini menahan sekitar $177 juta dalam utang buruk - penyerang meminjam 126.000 ETH menggunakan rsETH yang dicuri sebagai jaminan, dan utang tersebut kini tetap dalam istilah ETH sementara jaminan telah runtuh nilainya.
 
Matematikanya jelas. Ketika penyerang menyediakan rsETH sebagai jaminan, mereka tahu bahwa rsETH tidak didukung. Aave menganggapnya sebagai jaminan yang valid dengan nilai sekitar $2.500 per rsETH. Penyerang pergi dengan WETH asli. Aave tetap memegang rsETH yang kini pada dasarnya tidak bernilai sebagai jaminan.
 
Pemerintahan Aave merespons dengan cepat:
 
  • Menangguhkan semua setoran rsETH baru di seluruh pasar V3
  • Mengaktifkan kekuatan darurat Aave Guardian
  • Memulai diskusi tata kelola tentang pemulihan utang buruk
  • Aave TVL turun dari $26,4 miliar menjadi $20,7 miliar - penurunan 25% dalam total nilai yang terkunci
 
Aave TVL turun dari $26,4 miliar menjadi $20,7 miliar setelah serangan KelpDao - penurunan 25% dalam total nilai yang terkunci
 
Untuk para depositor WETH di Aave, situasinya sangat berisiko. Utang buruk berarti dana depositor berisiko jika pemulihan tidak terjadi. Tata kelola Aave sedang mengeksplorasi opsi pemulihan melalui protokol Umbrella dan kas Aave, tetapi belum ada solusi jelas yang muncul hingga penulisan ini.
 
Penyerang meminjam lebih dari 82.600 ETH (sekitar $195 juta) dari Aave menggunakan rsETH yang dicuri, menciptakan utang buruk yang terus bertambah seiring apresiasi harga ETH yang membuat utang semakin sulit ditutupi melalui cadangan kas.
 
 

Kerentanan Jembatan Silang-Rantai: Masalah Sistemik

Eksploitasi KelpDAO bukan insiden terpisah—ini adalah serangan DeFi terbesar pada 2026 hingga saat ini, mengikuti pola kerentanan bridge yang telah mengganggu industri ini. Dari Ronin Bridge tahun 2022 ($625 juta) hingga Multichain tahun 2023, bridge lintas-chains secara konsisten terbukti menjadi tautan paling lemah dalam infrastruktur DeFi.
 
Masalah mendasarnya bersifat arsitektural. Jembatan lintas-rantai memerlukan kepercayaan terhadap sistem verifikasi pesan. Ketika jembatan memberi tahu Rantai B bahwa sebuah token ada di Rantai A, pesan tersebut hanya sepercaya mekanisme verifikasinya. Serangan KelpDAO memanfaatkan konfigurasi DVN 1-dari-1—sebuah titik kegagalan tunggal yang seharusnya tidak pernah diterapkan pada protokol yang mengelola dana pengguna bernilai ratusan juta.
 
Respons industri bervariasi, tetapi polanya jelas:
 
 
Tahun Insiden Kerugian Penyebab Utama
2022 Ronin Bridge $625 juta Kompromi kunci pribadi
2023 Multichain $130J Kegagalan multi-sig
2024 Berbagai jembatan Lebih dari $400 juta Beberapa
2026 KelpDAO $292 juta Kegagalan DVN 1 dari 1
 
 
Kasus KelpDAO sangat mengkhawatirkan karena kerentanan tersebut sudah diketahui dalam arsitektur LayerZero tetapi tidak ditangani pada tingkat protokol hingga setelah kerusakan terjadi.
 

Intervensi dan Upaya Pemulihan Justin Sun

Dalam langkah yang tidak biasa, pendiri TRON Justin Sun secara terbuka menawarkan untuk bernegosiasi dengan pelaku serangan KelpDAO. Sun memposting di X (sebelumnya Twitter), “Hacker KelpDAO, berapa yang kamu inginkan? Mari kita bicara. Tidak layak untuk mengorbankan baik Aave maupun KelpDAO dan membiarkan mereka runtuh karena peretasan ini.”
 
Justin Sun memberikan komentar tentang serangan terhadap KelpDao
 
Penyerang meminjam sekitar 126.000 ETH, menciptakan utang yang tetap dalam istilah ETH. Seiring kenaikan harga ETH, beban utang terhadap kas Aave dan protokol Umbrella juga meningkat. Intervensi Sun mencerminkan kekhawatiran ekosistem yang lebih luas—ini bukan hanya tentang KelpDAO atau Aave, tetapi tentang mencegah krisis sistemik yang dapat memengaruhi pasar pinjaman di seluruh DeFi.
 
rsETH yang dicuri telah ditandai dan dibekukan di beberapa jaringan. Penyerang mengendalikan ETH dalam jumlah signifikan tetapi tidak dapat dengan mudah keluar dari posisi tanpa memicu pembekuan dan penyelidikan. Ini menciptakan kebuntuan—penyerang memiliki nilai secara tertulis tetapi tidak dapat merealisasikannya tanpa kerja sama.
 

Haruskah Saya Berinvestasi di AAVE di KuCoin Setelah Eksploit rsETH?

Ini adalah pertanyaan di benak setiap investor DeFi setelah insiden KelpDAO. Aave adalah protokol peminjaman terbesar di DeFi, dan eksploitasi ini mengungkap kerentanan yang banyak orang pikir sudah diatasi. Berikut penilaian jujurnya.
 

Alasan untuk Berhati-hati

  • Ketidakpastian utang buruk: $177 juta utang buruk berada di kolam WETH Aave, dan jadwal pemulihan belum jelas
  • Penurunan TVL: Penurunan TVL 25% menandakan melemahnya kepercayaan
  • Risiko lintas-rantai: Aave menggunakan jembatan pihak ketiga untuk aset lintas-rantai—kerentanan apa pun pada jembatan menciptakan eksposur
  • Ketidakpastian tata kelola: Proposal pemulihan masih dibahas, tanpa hasil yang dijamin
  • Sentimen pasar: Harga AAVE turun sekitar 10% karena pasar memperhitungkan potensi kerugian
 

Alasan untuk Mempertimbangkan AAVE

  • Posisi pemimpin pasar: Meskipun terjadi eksploitasi, Aave tetap menjadi protokol peminjaman yang dominan
  • Potensi pemulihan: Kas Aave dan protokol Umbrella memiliki sumber daya untuk menutupi sebagian kerugian jika diimplementasikan dengan benar
  • Kebutuhan DeFi: Protokol pinjaman bersifat mendasar - permintaan ada terlepas dari masalah protokol individu
  • Ketahanan historis: Aave telah bertahan dari eksploitasi sebelumnya dan krisis pasar
  • Respons tata kelola: Jeda cepat dan aktivasi tata kelola menunjukkan kemampuan respons krisis
 

Ringkasan Penilaian Risiko

Eksploitasi KelpDAO mewakili era baru risiko DeFi—kerentanan lintas rantai yang memengaruhi tidak hanya pengguna jembatan tetapi siapa pun yang menyediakan jaminan untuk protokol yang terpapar. Untuk Aave, dampak langsungnya adalah sekitar $177 juta dalam utang macet terhadap $20,7 miliar TVL yang tersisa, sekitar 0,85% dari total setoran yang berisiko.
 
Pertanyaan utama: Bisakah Anda mentoleransi tingkat risiko protokol ini? Jika Anda melakukan setoran ke Aave, pahami bahwa Anda terpapar pilihan jaminan dari peminjam lain. Penyerang mengeksploitasi sistem jaminan Aave, bukan kerentanan setoran langsung, tetapi efeknya terhadap para penyetor serupa—dana mereka kini berisiko selama negosiasi pemulihan.
 

Cara Mempedagangkan AAVE di KuCoin

Bagi mereka yang memutuskan untuk memperdagangkan AAVE di KuCoin setelah eksploitasi, berikut panduan praktisnya.
 

Langkah 1: Pahami Risikonya

AAVE mengalami volatilitas signifikan setelah eksploitasi. Harga bisa bergerak 10-20% ke arah mana pun berdasarkan kabar pemulihan. Hanya perdagangkan dengan modal yang mampu Anda rugikan atau tahan selama volatilitas berkepanjangan.
 

Langkah 2: Eksekusi Perdagangan Anda

Di KuCoin, cari “AAVE/USDT” di antarmuka perdagangan. Volume perdagangan tinggi selama periode ini, menyediakan pasar likuid untuk both market dan order limit.
 

Langkah 3: Pertimbangkan Ukuran Posisi

Mengingat ketidakpastian yang berkelanjutan, pertimbangkan ukuran posisi yang lebih kecil dari biasanya. Penurunan harga 10% sudah terjadi, tetapi waktu pemulihan masih belum pasti. Dollar-cost averaging ke dalam posisi seiring waktu mengurangi risiko waktu.
 
 

Kesimpulan

Eksploitasi KelpDAO rsETH menjadi insiden DeFi terbesar tahun 2026—bukan hanya karena pencurian $292 juta, tetapi karena yang terungkap tentang infrastruktur lintas rantai. Sebuah validator tunggal memungkinkan penyerang mencetak token tanpa jaminan di lebih dari 20 rantai, lalu menggunakannya sebagai jaminan di Aave.
 
Utang buruk senilai $177M yang kini berada di Aave menyoroti rantai risiko sistemik DeFi. Komposabilitas protokol memberikan manfaat kepada pengguna tetapi juga menciptakan mode kegagalan yang melintasi batas protokol. Jembatan lintas-rantai tetap menjadi tautan paling lemah industri hingga reformasi arsitektural mengatasi konfigurasi titik kegagalan tunggal.
 
Untuk peserta DeFi, pelajarannya bukan meninggalkan ruang ini—melainkan memahami risiko dengan lebih tepat. Penyerang memegang aset senilai $292 juta yang telah ditandai dan tidak dapat dicairkan dengan mudah. Untuk Aave secara khusus, pemulihan melibatkan mekanisme yang didanai oleh tata kelola tanpa jadwal yang dijamin. Protokol ini telah bertahan menghadapi tantangan sebelumnya, tetapi insiden ini mengungkap keterbatasan yang memerlukan respons struktural berkelanjutan.
 

FAQ

Q: Apakah ETH saya aman di Aave setelah eksploitasi KelpDAO?
A: Ada utang buruk senilai $177 juta di kolam WETH Aave, tetapi ini mewakili kurang dari 1% dari total TVL ($20,7 miliar). Tata kelola secara aktif membahas opsi pemulihan. Pantau pengumuman tata kelola Aave untuk pembaruan mengenai jadwal dan mekanisme pemulihan.
 
Q: Apa yang terjadi pada rsETH yang dicuri?
A: $292M dalam rsETH tetap ditandai di berbagai rantai. Penyerang tidak dapat dengan mudah melelang aset-aset ini tanpa memicu pembekuan. Justin Sun secara publik menawarkan untuk bernegosiasi dengan penyerang untuk pengembalian dana.
 
Siapa yang bertanggung jawab atas eksploitasi KelpDAO?
Analisis teknis menunjukkan eksploitasi terhadap konfigurasi DVN 1-of-1 LayerZero. Ini memungkinkan penyerang untuk memalsukan pesan lintas rantai dan mencetak rsETH yang tidak dijamin. Kerentanan berada pada pengaturan jembatan KelpDAO, bukan protokol inti LayerZero.
 
Q: Apakah Aave akan memulihkan utang buruk sebesar $177 juta?
A: Tata kelola Aave sedang mengeksplorasi pemulihan melalui protokol Umbrella dan cadangan kas. Belum ada jadwal yang dikonfirmasi. Penyerang meminjam 126.000 ETH dengan jaminan yang tidak didukung—pemulihan memerlukan kerja sama peretas atau cakupan yang dibiayai oleh tata kelola.
 
Q: Haruskah saya menghindari DeFi setelah eksploit ini?
A: Eksploitasi KelpDAO mengungkap risiko lintas rantai tetapi tidak menunjukkan bahwa semua protokol DeFi tidak aman. Pahami eksposur Anda terhadap aset lintas rantai dan audit konfigurasi jembatan dari protokol yang Anda gunakan. Diversifikasi di antara protokol dan penentuan ukuran posisi yang hati-hati tetap merupakan strategi yang bijaksana.
 
 

Penafian: Halaman ini diterjemahkan menggunakan teknologi AI (didukung oleh GPT) untuk kenyamanan Anda. Untuk informasi yang paling akurat, lihat versi bahasa Inggris aslinya.