Serangan terhadap @KelpDAO merupakan salah satu eksploitasi DeFi terbesar pada 2026, dengan kerugian diperkirakan sebesar $292–294 juta (sekitar 116.500 rsETH, yang mewakili ~18% dari total pasokan yang beredar). Peristiwa Utama Waktu: Sekitar 17:35 UTC pada 18 April 2026. Penyerang mengeksploitasi jembatan rsETH KelpDAO, yang bergantung pada pesan lintas-rantai LayerZero. Penyerang memanggil fungsi lzReceive pada LayerZero EndpointV2 dan memalsukan (memalsukan) pesan lintas-rantai untuk mencetak rsETH tanpa jaminan (rsETH tanpa aset dasar yang nyata). rsETH palsu kemudian disetorkan ke protokol pinjaman utama seperti Aave V3, Compound, Euler, dan lainnya untuk meminjam sekitar $106–236 juta dalam ETH/WETH. Sebagian besar ETH yang dicuri ditransfer dan kemungkinan dicuci (Tornado Cash sebelumnya digunakan untuk mendanai dompet penyerang). KelpDAO segera menjeda kontrak rsETH di mainnet Ethereum dan beberapa jaringan Layer-2. Beberapa protokol lainnya (Aave, SparkLend, Fluid, Upshift, Lido, Ethena, dll.) mengaktifkan pembekuan darurat untuk membatasi kerusakan lebih lanjut. Penyebab Utama Penyebab utama adalah kesalahan konfigurasi keamanan kritis pada pengaturan jembatan LayerZero: LayerZero mendukung ambang keamanan untuk Jaringan Verifier Terdesentralisasi (DVN), seperti 2/2 atau 3/3 (memerlukan beberapa verifier untuk dikompromikan). KelpDAO mengonfigurasinya sebagai 1/1 (hanya satu verifier yang diperlukan), memungkinkan penyerang dengan mudah memalsukan pesan. Adapter jembatan $rsETH dieksploitasi secara langsung, memungkinkan pencetakan rsETH palsu tanpa batas. Konsekuensi Bagi KelpDAO: Kerugian ~$292 juta dalam nilai rsETH, kontrak dijeda, kerusakan reputasi serius, dan rsETH kehilangan peg-nya. Efek penyebaran: @aave V3 menghadapi utang buruk besar (~$200–290 juta di pool WETH) karena rsETH palsu digunakan sebagai jaminan untuk meminjam ETH nyata. Pemberi pinjaman WETH di Aave diminta segera menarik dana mereka. Setidaknya 9 protokol lainnya (Aave, Compound, Morpho, SparkLend, dll.) terdampak. Wrapped ETH menjadi terjebak di lebih dari 20 rantai. Dampak pasar: Token $AAVE anjlok tajam (~10–15%). Token $ZRO dari @LayerZero_Core juga turun signifikan. Sentimen negatif menyebar di seluruh DeFi, dengan banyak pengguna menarik likuiditas dari protokol pinjaman. Penyerang telah memindahkan sebagian besar ETH, tetapi beberapa pasar tetap dibekukan untuk menahan kerusakan. Insiden ini masih dalam penyelidikan (analisis on-chain seperti ZachXBT secara aktif melacaknya). Ini menjadi pengingat besar akan risiko yang terkait dengan jembatan lintas-rantai dan token restaking cair ketika diintegrasikan ke dalam protokol pinjaman tanpa kontrol yang kuat. Jika Anda memegang posisi terkait rsETH, pool WETH Aave, atau vault pinjaman terkait ETH, disarankan untuk memeriksa dan mempertimbangkan penarikan untuk menghindari utang buruk atau pembekuan berkepanjangan. Situasi ini mungkin terus berkembang dalam beberapa jam ke depan.