Eksploitasi senilai $292 juta di KelpDAO memicu penarikan luas di seluruh keuangan terdesentralisasi selama akhir pekan, menarik sekitar $10 miliar dari industri DeFi dan memaksa beberapa protokol untuk membekukan pasar yang terkait dengan rsETH.
Pelanggaran dimulai akhir Sabtu ketika seorang penyerang menguras sekitar 116.500 rsETH dari jembatan lintas rantai KelpDAO. Token yang dicuri bernilai sekitar $292 juta pada saat itu, menurut data CryptoSlate.
KelpDAO mengeluarkan rsETH kepada pengguna yang melakukan setoran ETH ke dalam sistem restaking cairannya. Platform tersebut kemudian mengalokasikan ETH tersebut melalui platform restaking EigenLayer untuk menghasilkan imbal hasil tambahan di atas imbal hasil staking standar.
Kerugian KelpDAO kini menjadi eksploit DeFi terbesar tahun 2026 dalam laporan ini, melebihi serangan-serangan sebelumnya tahun ini.
Bagaimana KelpDAO dieksploitasi sebesar $292 juta
rsETH beredar di pasar yang lebih luas melalui LayerZero, jaringan pesan lintas rantai yang memindahkan instruksi dan aset antar blockchain.
Developer inti Yearn Finance, Banteg menjelaskan bahwa eksploitasi menargetkan rute yang menghubungkan Unichain ke ethereum mainnet.
Menurut analis on-chain, penyerang mendorong pesan penipuan yang diterima sistem sebagai valid, mendorong adapter sisi Ethereum untuk melepaskan cadangan rsETH yang telah didanai sebelumnya.
Rute ini dikonfigurasi sebagai jalur jaringan verifikator terdesentralisasi satu-satunya tanpa verifikator sekunder yang dapat menandai transaksi tersebut.
Banteng menyatakan bahwa transaksi jahat, yang diidentifikasi sebagai nonce 308, telah diverifikasi dan dikirim pada pukul 17:35 UTC.
Setelah serangan tersebut, dompet multisignatur darurat KelpDAO membekukan kontrak inti protokol. Ini mencegah dua upaya tambahan yang bersama-sama dapat menghapus sekitar $100 juta lagi dalam rsETH.
Dana curian awal dipindahkan melalui Tornado Cash, mengaburkan jejak sebelum protokol merespons untuk menahan kerusakan.
Sementara itu, rsETH terbungkus yang didukung cadangan yang terkuras beredar di jaringan sekunder, termasuk Base, Arbitrum, Linea, Blast, Mantle, dan Scroll. Setelah cadangan tersebut habis, pengguna yang memegang rsETH di luar Ethereum menghadapi ketidakpastian yang meningkat terkait penukaran dan dukungan.
Dan tekanan itu dengan cepat menyebar ke seluruh pasar.
Aave mengalami pukulan paling berat
Guncangan susulan paling parah menimpa Aave, platform pinjaman kripto terbesar, di mana pelaku diduga menyetorkan rsETH yang dicuri sebagai jaminan.
Selama jendela serangan, oracle harga Aave terus membaca rsETH mendekati peg normalnya, memungkinkan protokol untuk mengeluarkan 106.467 ETH melawan jaminan yang dikompromikan.
Itu meninggalkan platform menghadapi potensi eksposur utang buruk sebesar $236 juta dan memicu lonjakan penarikan dana.
Data dari DeFiLlama menunjukkan total nilai yang terkunci Aave turun dari lebih dari $26 miliar menjadi sekitar $20 miliar saat pengguna menarik dana.
Penurunan mencapai salah satu penarikan paling tajam di platform dalam ingatan terbaru dan mengubah eksploit jembatan menjadi peristiwa likuiditas untuk tempat peminjaman terbesar di DeFi.
Analis on-chain mengungkap bahwa pemegang ETH besar di platform DeFi mempercepat pergerakan tersebut.
Sebagai konteks, pendiri TRON Justin Sundilaporkan menarik lebih dari 65.580 ETH, senilai sekitar $154 juta, dalam satu transaksi.
Saat penarikan semacam ini meningkat, tingkat pemanfaatan ETH Aave mencapai 100%, sehingga seluruh Ether yang tersedia di platform tersebut telah dipinjam atau ditarik.
Sementara itu, tekanan juga menyebar ke harga pasar Aave. Token tata kelola AAVE jatuh lebih dari 18% karena para pedagang memperhitungkan kemungkinan kerugian yang lebih dalam.
Ini diperparah oleh penjualan besar-besaran dari dompet AAVE besar. Platform analitik blockchain Lookonchain melaporkan bahwa satu entitas yang diidentifikasi sebagai smaugvision menjual lebih dari 20.000 AAVE senilai $2,06 juta, sementara investor lain menjual jumlah serupa senilai $2,05 juta. Seorang whale ketiga menjual hampir 19.700 AAVE sebagai pertukaran untuk Bitcoin terbungkus dan ETH.
Sebagai respons terhadap masalah ini, Aave membekukan pasar rsETH di V3 dan V4. Pendiri platform Stani Kulechovmenyatakan di X:
rsETH telah dibekukan di Aave V3 dan V4, aset ini tidak memiliki daya pinjaman apa pun sebagai tindakan pencegahan akibat eksploitasi jembatan KelpDAO yang terjadi di luar Aave. Baik Aave V3 maupun V4 tidak memiliki eksposur lebih lanjut terhadap rsETH.
Penyebaran kontaminasi menyebar di seluruh DeFi
Selain Aave, protokol DeFi lainnya juga mengalami penarikan signifikan dari platform mereka akibat serangan tersebut.
0xngmi, pendiri pseudonim DeFiLlama, melaporkan bahwa insiden tersebut menyebabkan penurunan $10 miliar di sektor DeFi. Ini mencakup keluarnya $6 miliar dari Aave.
Secara signifikan, data dari DeFiLlama menunjukkan bahwa TVL untuk protokol DeFi turun 10% dari sekitar $99 miliar pada 18 April menjadi $89 miliar pada waktu pelaporan.
Sementara itu, insiden ini juga mendorong beberapa platform DeFi untuk segera mengurangi eksposur mereka terhadap token rsETH yang sedang bermasalah.
Analis DeFi Ignas menandai delapan protokol DeFi tambahan, termasuk Lido, SparkLend, Fluid, Compound, dan Euler, yang membekukan pasar pinjaman rsETH mereka.
Dia menambahkan:
Saya kira LayerZero kemungkinan juga terdampak, karena rsETH di-bridge dari L2, jadi saya penasaran apakah rsETH di L2 itu sekarang tidak bernilai.
Sementara itu, Ethena, pengembang dolar sintetis USDe, sementara waktu menangguhkan jembatan LayerZero-nya sebagai tindakan pencegahan, sambil menyatakan bahwa tidak memiliki eksposur terhadap rsETH.
Langkah-langkah tersebut mencerminkan seberapa luas rsETH telah tertanam di seluruh DeFi, karena sangat digunakan di pasar pinjaman, produk vault, dan strategi jaminan yang bergantung pada transfer lintas rantai yang lancar dan kepercayaan terhadap dukungan cadangan.
Saat kepercayaan itu melemah, protokol berpindah untuk membatasi risiko sebelum penarikan lebih lanjut atau dislokasi harga memperdalam kerusakan.
Strain tersebut juga menunjukkan seberapa cepat modal dapat bergerak begitu kualitas jaminan dipertanyakan. Sebuah bridge exploit di satu tempat cukup untuk mengirimkan gelombang kejut melalui beberapa pasar dalam hitungan jam, mendorong platform untuk menghentikan aktivitas bahkan ketika kontrak mereka sendiri tidak secara langsung dilanggar.
Komunitas kripto menyerukan solusi untuk serangan terhadap jembatan DeFi
Jonathan Man, Kepala Solusi Multi-Strategi & Strategi DeFi di Bitwise, mengatakan:
Ini adalah kemunduran lain, tetapi kita bisa bangkit kembali lebih kuat. Sebagai sebuah industri, kita perlu secara bersama-sama meningkatkan kinerja kita untuk memastikan kita membangun masa depan keuangan di atas fondasi yang kuat.
Sementara itu, eksploitasi KelpDAO juga memicu diskusi yang lebih luas tentang bagaimana protokol pinjaman dan penerbit token dapat membatasi kerusakan dari serangan yang menargetkan aset yang dijembatani atau diperdagangkan secara tipis.
Keone Hon, co-founder of Monad, said protokol pinjaman terpusat sebaiknya mempertimbangkan untuk menerapkan batas laju pada seberapa cepat aset dapat disetorkan dan digunakan sebagai jaminan.
Di bawah model tersebut, aset dengan pasokan beredar saat ini sebesar $100 juta dan batas resmi sebesar $300 juta tidak diizinkan untuk langsung meloncat ke batas penuh dalam satu ledakan tunggal. Sebaliknya, pasokan yang diizinkan masuk ke dalam sistem akan meningkat secara bertahap selama periode tertentu, seperti 10 menit atau beberapa jam.
Hon mengatakan pendekatan tersebut akan mempersempit jalur keluar yang tersedia ketika aset eksotis dieksploitasi, terutama dalam kasus yang melibatkan bug infinite-mint.
Dia berargumen bahwa besarnya kerugian sering kali ditentukan lebih sedikit oleh mint itu sendiri daripada seberapa banyak aset yang terkompromi dapat dilepaskan ke tempat peminjaman atau keluaran likuid lainnya sebelum pasar bereaksi.
Dalam kerangka itu, protokol pinjaman besar menjadi katup pelepas utama karena likuiditas bursa terdesentralisasi seringkali terlalu terbatas untuk menyerap eksploitasi besar.
Dia menambahkan bahwa penerbit aset juga seharusnya memiliki kepentingan dalam batasan yang lebih ketat, terutama ketika mereka menerbitkan token resi dengan penukaran tertunda. Dalam kasus tersebut, penerbit tidak selalu terpapar tekanan penukaran segera dari penyerang, tetapi tetap mendapat manfaat ketika jalur keluar downstream tetap terbatas.
Hon menunjuk pada Hyperbridge DOT exploit dan insiden Resolv sebagai contoh di mana kerugian tetap berada di bawah tingkat yang lebih bencana karena jalur yang tersedia untuk keluar dari aset yang diretas terbatas.
Guy Young, pendiri Ethena, menyetujui pandangan tersebut dan mengatakan penerbit harus mempertimbangkan untuk menambahkan batas laju pada lapisan pencetakan dan penukaran, serta throttle khusus di atas standar OFT LayerZero.
Pos Para pengguna DeFi menarik $10 miliar dari pasar karena eksploitasi $292 juta memicu efek run bank pertama kali muncul di CryptoSlate.