KuCoin
Masuk
language_currency
Halaman Utama
Blog
Market Insight
Rincian
img

Apa Itu KelpDAO? Bagaimana Peretasan $292J-nya Mengguncang Pasar Kripto pada 2026

2026/04/28 06:33:02
Kustom
Bagaimana jika satu transaksi palsu bisa mengosongkan hampir $300 juta dari protokol DeFi dalam waktu kurang dari satu jam—dan kemudian memicu krisis berantai di 9 platform lainnya?
 
Itu persis yang terjadi pada 18 April 2026. Seorang penyerang memanfaatkan jembatan berbasis LayerZero Kelp DAO untuk menarik 116.500 rsETH — sekitar $292 juta, yang mewakili sekitar 18% dari pasokan beredar token — memicu jeda darurat pada kontrak inti. Kejadian ini langsung menjadi eksploitasi DeFi terbesar tahun 2026, mengguncang kepercayaan investor dari mainnet Ethereum hingga lebih dari 20 jaringan Layer-2.
 
Untuk memahami mengapa hal ini sangat penting, Anda terlebih dahulu perlu memahami apa itu KelpDAO, bagaimana ia membangun salah satu ekosistem paling saling terhubung di DeFi, dan mengapa satu tautan lemah dalam infrastruktur lintas-rantainya cukup untuk mengekspos kerentanan struktural seluruh sektor.

Poin Utama

  • KelpDAO adalah protokol restaking cair yang dibangun di atas EigenLayer, memungkinkan pengguna untuk mendapatkan imbalan staking sambil menjaga aset mereka tetap likuid melalui token rsETH mereka.
  • Pada 18 April 2026, penyerang memanfaatkan kerentanan jembatan untuk mencetak 116.500 token rsETH yang tidak dijamin senilai ~$292 juta — peretasan DeFi terbesar tahun 2026.
  • Serangan tersebut dikaitkan dengan Lazarus Group asal Korea Utara, yang menggunakan token yang dicuri sebagai jaminan palsu di Aave untuk menarik ETH asli.
  • Setidaknya 9 protokol DeFi terdampak, TVL Aave turun sebesar $10 miliar, dan April 2026 menjadi bulan terburuk untuk serangan crypto dalam lebih dari satu tahun.
  • Inisiatif pemulihan bernama "DeFi United" diluncurkan, dengan Lido Finance, EtherFi, dan pendiri Aave Stani Kulechov mengoordinasikan penutupan kekurangan tersebut.

Apa Itu KelpDAO?

KelpDAO adalah protokol restaking cair yang dibangun di atas Ethereum yang memungkinkan pengguna memaksimalkan imbalan staking mereka tanpa mengorbankan likuiditas aset. Alih-alih mengunci ETH dalam staking tradisional, Kelp DAO memungkinkan pengguna untuk melakukan restake pada token staking cair (LST) mereka dari penyedia seperti Lido dan Rocket Pool untuk mendapatkan imbalan tambahan melalui EigenLayer.
 
Dengan sederhana, KelpDAO beroperasi sebagai "penguat DeFi." Anda melakukan setoran ETH yang telah di-stake (seperti stETH atau cbETH), protokol ini mendeklasikannya kepada operator EigenLayer, dan sebagai gantinya, Anda menerima rsETH — token restaking cair yang menghasilkan imbal hasil.
 

Apa itu rsETH?

rsETH adalah token yang mewakili klaim atas posisi restaked ditambah imbal hasil yang telah terakumulasi. Pada April 2026, rsETH telah melampaui $1 miliar dalam TVL dan diintegrasikan sebagai jaminan di sebagian besar pasar pinjaman utama dan tempat imbal hasil di DeFi.
 
Karena rsETH likuid, pengguna dapat memperdagangkannya, meminjamnya, atau menggunakannya dalam strategi imbal hasil—semua sambil terus mendapatkan reward EigenLayer di latar belakang. Mekanisme "double-dipping" ini menjadikan KelpDAO salah satu protokol restaking likuid paling populer di ekosistem.
 

Fitur Utama KelpDAO

KelpDAO mengeluarkan rsETH dan mengoperasikan Gain Vaults — optimizer yield dan poin airdrop otomatis untuk jaringan Layer-2. Pengguna dapat melakukan setoran ETH, stETH, ETHx, dan rsETH ke dalam Gain Vaults untuk mendapatkan yield tambahan tanpa perlu repot.
 
Protokol ini beroperasi di lebih dari 10 jaringan dan telah mengakumulasi lebih dari $2 miliar dalam Total Value Locked (TVL) sebelum eksploitasi. Dengan integrasi yang mencakup Aave, Arbitrum, Base, Linea, dan Mantle, rsETH telah menjadi bagian yang sangat mendalam dalam stack DeFi.

Peretasan KelpDAO April 2026: Apa yang Terjadi?

Vektor Serangan: Kelemahan Jembatan 1-dari-1

Serangan berlangsung secara bertahap: penyerang mengompromikan node RPC yang digunakan oleh sistem verifikasi LayerZero, mendeploy biner jahat untuk memanipulasi data transaksi, menjalankan serangan DDoS terkoordinasi yang memaksa beralih ke infrastruktur yang telah dikompromikan, dan akhirnya menyebabkan sistem menerima pesan lintas rantai yang dipalsukan — menghasilkan 116.500 rsETH yang dicetak tanpa dukungan apa pun.
 
Titik kegagalan kritis adalah konfigurasi verifikasi KelpDAO. Forensik on-chain menggambarkan vektor serangan sebagai bedah: mencemarkan RPC internal sambil melakukan serangan DDoS pada RPC eksternal, memanfaatkan konfigurasi verifikasi DVN (Decentralized Verifier Network) 1-dari-1. Satu verifier. Satu titik kegagalan.
 
Ini berarti satu node yang dikompromikan saja sudah cukup untuk menyetujui transaksi lintas rantai penipuan senilai ratusan juta dolar.

Waktu

Pada 18 April 2026 pukul 17:35 UTC, penyerang mengeksploitasi jembatan. Multisig penangguhan darurat menjeda kontrak inti Kelp DAO 46 menit kemudian, pada 18:21 UTC. Dua upaya penarikan selanjutnya dilakukan pada 18:26 dan 18:28 UTC, masing-masing mencoba menarik tambahan 40.000 rsETH — keduanya dibatalkan.
 
Kecepatan serangan itu menakjubkan. Dalam waktu kurang dari satu jam, penyerang telah mencetak token palsu, menggunakannya sebagai jaminan di Aave, dan menarik ETH asli dari protokol peminjaman DeFi terbesar yang pernah ada.

Dari Eksploitasi Jembatan hingga Krisis Aave

Serangan tersebut tidak berhenti di KelpDAO. Penyerang melakukan setoran hampir 90.000 rsETH ke Aave sebagai jaminan, meminjam sekitar $190 juta dalam ETH dan aset lainnya di seluruh Ethereum dan Arbitrum. Hal ini menyisakan jaminan yang terganggu di Aave, memicu penarikan besar-besaran oleh para pemberi pinjaman yang bergegas menarik dana yang tersedia.
 
Nilai total aset di Aave anjlok sebesar $10 miliar setelah insiden tersebut, dengan estimasi lubang utang buruk lebih dari 112.000 rsETH, menurut laporan insiden Aave.
 
Saat kepanikan menyebar selama jam perdagangan Asia pada hari Minggu, token asli Aave turun sebesar 20%.

Efek Domino: Bagaimana Peretasan Mempengaruhi Ekosistem DeFi yang Lebih Luas

9 Protokol Terdampak, $13 Miliar Penarikan

Aave V3 membekukan pasar rsETH, SparkLend membekukan eksposur, sementara Fluid, Compound, Euler, dan lainnya bergerak untuk menahan risiko. Setidaknya 9 protokol terdampak. Setoran DeFi turun sebesar $13 miliar dalam 48 jam saat pengguna berlomba menarik dana mereka sebelum orang lain melakukannya. Untuk setiap dolar yang dicuri peretas pada bulan April, pengguna DeFi menarik sekitar 20 dolar lebih banyak dari sistem. Efek amplifikasi ini—di mana satu eksploitasi menyebabkan pelarian modal yang jauh lebih besar—adalah tepatnya apa yang membuat serangan jembatan sangat merusak. Mereka tidak hanya mencuri nilai; mereka menghancurkan kepercayaan.

rsETH Terjebak di 20+ Rantai

Karena jembatan tersebut memegang cadangan yang mendukung rsETH di lebih dari 20 jaringan, kerugian tersebut menimbulkan keraguan tentang dukungan rsETH di Layer 2 dan memicu gelombang pembekuan pasar oleh protokol termasuk Aave, SparkLend, dan Fluid. Pemegang rsETH di Arbitrum, Base, Mantle, Linea, dan jaringan terhubung lainnya terjebak dengan token yang tidak lagi dapat ditebus dengan keyakinan terhadap klaim 1:1 terhadap escrow Ethereum. Penarikan dihentikan dan likuiditas dievakuasi dari kolam DEX.
 

KernelDAO Terjebak di Tengah Api

KelpDAO beroperasi di bawah ekosistem KernelDAO yang lebih luas. Token KERNEL jatuh 19,9% dalam tujuh hari setelah serangan. Kapitalisasi pasar KernelDAO turun menjadi sekitar $20 juta—membuat kapitalisasi pasar protokol 48 kali lebih kecil dari TVL-nya.

Siapa Di Balik Serangan terhadap KelpDAO?

KelpDAO telah dikosongkan sekitar $290 juta pada 18 April setelah penyerang, kemungkinan kelompok Lazarus dari Korea Utara, mengompromikan node RPC dan mengeksploitasi pengaturan lintas rantai dengan satu verifier untuk mencetak 116.500 token rsETH yang tidak dijamin. LayerZero, yang infrastruktur pesannya digunakan, menyatakan protokol intinya tidak bersalah.
 
Lazarus Group telah menguras kripto selama satu dekade. Pada tahun 2025 saja, mereka mengambil sekitar 59% dari setiap dolar yang dicuri di seluruh industri. Mereka menguras $285 juta dari Drift Protocol dan $292 juta dari KelpDAO pada April 2026, dan kedua serangan tersebut dirancang melalui berbulan-bulan sosial rekayasa.
 
Ini adalah pergeseran kritis dalam lanskap ancaman. Seperti dicatat oleh pendiri Immunefi, Mitchell Amador, dengan kode yang semakin sulit dieksploitasi, target utama peretas pada 2026 adalah manusia. Infrastruktur jembatan itu sendiri tidak necessarily rusak — yang dikelabui adalah manusia yang mengoperasikan node verifikasi.

April 2026: Bulan Terburuk untuk Peretasan Kripto dalam Lebih dari Satu Tahun

Serangan terhadap KelpDAO tidak terjadi secara terpisah. April 2026 kini menjadi bulan terburuk untuk serangan crypto dalam lebih dari satu tahun, dengan $606 juta dicuri dalam 12 insiden. Ini sudah tiga kali lebih banyak daripada semua insiden serangan di Q1 secara gabungan, dan bulan itu belum berakhir.
 
Insiden April lainnya mencakup serangan pembajakan domain senilai $1,2 juta terhadap agregator DEX CoW Swap, manipulasi oracle senilai $18,4 juta di jaringan NEAR, dan serangan flash loan senilai $1,6 juta di Binance Smart Chain. Total nilai yang terkunci di DeFi sejak itu turun dari $166 miliar menjadi $89 miliar—penurunan luar biasa yang mencerminkan skala krisis kepercayaan yang melanda sektor ini.

Upaya Pemulihan: "DeFi United"

Aave dan beberapa perusahaan kripto utama sedang berkoordinasi dalam upaya pemulihan yang disebut "DeFi United" untuk menstabilkan pasar DeFi setelah eksploitasi meninggalkan pemberi pinjaman terbesar sektor ini menghadapi kekurangan besar. Lido Finance, EtherFi, dan pendiri Aave Stani Kulechov adalah di antara mereka yang mengusulkan untuk menyumbangkan ETH guna menutupi kekurangan tersebut.
 
Pada 21 April, Dewan Keamanan Jaringan Arbitrum membekukan dana penyerang senilai 30.766 ETH ($71 juta) dari eksploitasi tersebut, memulihkan sekitar 25% aset yang dicuri. Pemulihan akan berjalan lambat. Apakah rsETH dapat sepenuhnya memulihkan peg-nya, dan apakah KelpDAO dapat membangun kembali kepercayaan pengguna sambil memenuhi permintaan penarikan, tetap menjadi pertanyaan terbuka menjelang Q2 2026.

Mengapa Serangan Terhadap Jembatan Terus Terjadi?

Serangan terhadap jembatan kripto seperti eksploitasi Kelp DAO senilai $292 juta terus terjadi karena jembatan bergantung pada perantara terpercaya dan sumber data eksternal, bukan memverifikasi aktivitas blockchain secara penuh, menciptakan peluang mudah bagi penyerang untuk memanipulasi. Masalahnya bersifat struktural, bukan hanya kesalahan atau bug.
 
Serangan jembatan jarang tetap terbatas. Aset yang dijembatani digunakan di berbagai protokol pinjaman, kolam likuiditas, dan strategi imbal hasil. Jika aset-aset tersebut dikompromikan, kerusakan akan menyebar. Seperti dijelaskan oleh co-founder 1inch, Sergej Kunz: "Platform lain mungkin memperlakukan aset yang diretas sebagai sah. Itulah bagaimana penyebaran terjadi."
 
Jembatan lintas-rantai telah menjadi bagian infrastruktur paling banyak dieksploitasi di kripto sejak 2021, dengan lebih dari $2,8 miliar ditarik dari mereka—sekitar 40% dari setiap dolar yang dicuri di Web3. Insiden KelpDAO bukanlah kejadian yang tidak biasa—ini adalah kelanjutan dari masalah struktural yang telah berlangsung selama bertahun-tahun, dan industri belum memberikan solusi komprehensif.

Apa Arti Hack Ini bagi Masa Depan DeFi

Kepercayaan dalam DeFi telah "menurun," dan Wakil Presiden Keamanan Ledger, Charles Guillemet, memperingatkan bahwa 2026 akan "kemungkinan besar menjadi tahun terburuk dalam hal peretasan, lagi." Namun, tidak semua ahli pesimis. Michael Egorov dari Curve Finance mengakui sisi positifnya: "Kripto adalah lingkungan yang keras yang tidak akan bertahan oleh bank mana pun — namun kita tetap bekerja dengannya. Saya pikir DeFi akan belajar dari insiden ini dan menjadi lebih kuat dari sebelumnya."
 
Kisah KelpDAO mempercepat percakapan tentang desain jembatan multi-signer, audit keamanan wajib untuk konfigurasi lintas-rantai, dan standar onboarding jaminan yang lebih ketat untuk protokol pinjaman. Apakah percakapan tersebut menghasilkan perubahan nyata tepat waktu untuk mencegah eksploitasi besar berikutnya adalah pertanyaan utama bagi DeFi pada 2026.

Cara Mengeksekusi Perdagangan Token DeFi dan Ekosistem Ethereum di KuCoin

Peretasan KelpDAO telah membangkitkan kembali minat untuk memahami bagaimana protokol restaking cair, derivatif ethereum, dan token tata kelola DeFi dihargai dan diperdagangkan. Jika Anda ingin menempatkan diri Anda menghadapi peristiwa pasar yang cepat bergerak ini — baik itu memperdagangkan AAVE, memantau volatilitas ETH, atau menjelajahi token terkait restaking — KuCoin menyediakan likuiditas mendalam untuk token-token yang menjadi pusat cerita ini.
 
KuCoin menyediakan pasar spot dan futures untuk memperdagangkan AAVE, ETH, dan berbagai token DeFi dengan biaya kompetitif. Platform ini juga menyediakan data pasar real-time dan notifikasi berita — sangat berguna selama peristiwa krisis seperti peretasan KelpDAO ketika harga token bisa berfluktuasi hingga 20% dalam beberapa jam. Pengguna baru dapat mendaftar di KuCoin dan mengakses berbagai alat perdagangan untuk menghadapi kondisi pasar yang volatil seiring perkembangan sektor DeFi.
 

Baca Lebih Lanjut:

Kesimpulan

KelpDAO membangun salah satu ekosistem liquid restaking paling ambisius di DeFi, memberi pengguna kemampuan untuk mendapatkan imbalan ethereum bertingkat sambil mempertahankan likuiditas token melalui rsETH. Tetapi eksploit jembatan April 2026nya mengungkap kebenaran kritis: dalam lingkungan DeFi yang saling terhubung, satu node verifikator yang salah konfigurasi dapat menjadi kerentanan senilai $292 juta.
 
Serangan — yang terbesar di tahun 2026, yang dikaitkan dengan Kelompok Lazarus dari Korea Utara — menyebar secara instan ke 9 protokol, memicu gelombang penarikan $10 miliar dari Aave, dan menjadikan April 2026 sebagai bulan terburuk untuk serangan crypto dalam lebih dari satu tahun. Pemulihan terkoordinasi melalui "DeFi United" sedang berlangsung, dengan Arbitrum membekukan sekitar $71 juta dana penyerang, tetapi jalur menuju pemulihan penuh masih belum pasti.
 
Untuk pasar kripto yang lebih luas, insiden KelpDAO adalah peringatan sekaligus pemicu perubahan. Infrastruktur jembatan harus dirancang ulang dengan beberapa lapis verifikasi independen, protokol pinjaman memerlukan standar jaminan yang lebih konservatif, dan industri harus memperlakukan kelompok peretas yang didukung negara seperti Lazarus sebagai lawan permanen. Ekosistem DeFi yang muncul dari krisis ini — jika ada — kemungkinan akan lebih tangguh, tetapi perjalanan menuju ke sana akan menyakitkan.

FAQ

Apakah KelpDAO masih beroperasi setelah peretasan?

KelpDAO menghentikan kontrak intinya di mainnet dan beberapa Layer-2 segera setelah eksploit terdeteksi. Tim mengonfirmasi sedang bekerja sama dengan LayerZero, Unichain, auditor, dan ahli keamanan dalam upaya pemulihan. Apakah operasi penuh akan dilanjutkan tergantung pada hasil inisiatif pemulihan "DeFi United" dan apakah rsETH dapat memulihkan peg 1:1-nya.
 

Apakah LayerZero itu sendiri diretas dalam eksploitasi KelpDAO?

LayerZero menyatakan bahwa protokol intinya tidak bersalah. Kerentanan tersebut berasal dari konfigurasi khusus KelpDAO terhadap pesan lintas rantai LayerZero — khususnya penggunaan pengaturan single-verifier (1-of-1 DVN), yang menciptakan titik kegagalan tunggal yang dieksploitasi oleh penyerang.
 

Apa yang terjadi pada nilai rsETH setelah peretasan?

Setelah peretasan, nilai dan peg rsETH mengalami tekanan berat. Penarikan dihentikan di lebih dari 20 rantai, dan likuiditas meninggalkan kolam DEX. rsETH mainnet tetap didukung oleh setoran pengguna sah di EigenLayer, tetapi rsETH yang dijembatani di jaringan Layer-2 kehilangan klaim penukaran 1:1 yang andal, meninggalkan pemegangnya terjebak.
 

Bagaimana pengguna DeFi dapat melindungi diri mereka dari serangan serupa di masa depan?

Pengguna sebaiknya mendiversifikasi eksposur di berbagai protokol, menghindari konsentrasi likuiditas token restaking sebagai jaminan di platform pinjaman, serta memantau pengungkapan keamanan jembatan dengan cermat. Memprioritaskan protokol dengan desain jembatan multi-verifier, program bug bounty aktif, dan audit keamanan transparan secara signifikan mengurangi—meski tidak pernah menghilangkan—eksposur terhadap eksploitasi terkait jembatan.
 
Penafian: Artikel ini hanya untuk tujuan informasi dan tidak merupakan nasihat keuangan atau investasi. Investasi mata uang kripto membawa risiko signifikan. Selalu lakukan riset sendiri sebelum berdagang.

Penafian: Halaman ini diterjemahkan menggunakan teknologi AI (didukung oleh GPT) untuk kenyamanan Anda. Untuk informasi yang paling akurat, lihat versi bahasa Inggris aslinya.