291 juta dolar hilang dalam 46 minit, mengguncang seluruh sistem DeFi — Aave tidak mampu menarik dana. Pada petang Sabtu lalu, skrin On-chain bagi ramalan analis berbilang berkelip serentak: 116.500 rsETH, bernilai sekitar 291 juta dolar (sekira 9.3 bilion ringgit), menghilang dari jambatan Kelp DAO dalam tempoh 46 minit. Namun, kerugian baru sahaja bermula. Dalam 24 jam berikutnya, gelombang kejutan tidak berhenti di Kelp, tetapi merebak ke Aave, platform pinjaman terbesar di DeFi, sehingga dana mengalir keluar dari sistem sebanyak lebih 6.2 bilion dolar (sekira 210.8 bilion ringgit), menjadikannya "serangan DeFi terbesar tahun 2026", melepasi kes Drift Protocol yang baru diserang awal bulan ini. 📌 Gambaran besar kejadian 🔹 Pelaku: Dompet yang diisi dana melalui Tornado Cash (alat pencampur transaksi untuk menyembunyikan asal-usul dana) sebelum operasi sekitar 10 jam. 🔹 Mangsa utama: Kelp DAO, protokol Liquid Restaking di atas ethereum yang mengeluarkan token rsETH sebagai "resit" untuk pengguna yang mendeposit ETH guna mendapat pulangan berganda. 🔹 Mangsa sampingan: Aave, Compound, dan Euler — semua menerima rsETH sebagai jaminan. Jambatan yang dibina di atas infrastruktur LayerZero global, yang menyimpan cadangan rsETH melintasi lebih 20 rangkaian, mengapa boleh ditembus hanya dengan "mesej palsu" satu-satunya? Dan mengapa kelemahan projek Restaking menyebabkan Aave yang memiliki TVL melebihi 26 bilion dolar mengalami kegagalan sistem penarikan dana? 1) Sekitar 10 jam sebelum Sabtu – Persediaan pembayaran: Dana dimasukkan ke dompet melalui Tornado Cash untuk menyiapkan kos gas dan memutuskan jejak penyiasatan. 2) 17:35 UTC Sabtu – Menyerang jambatan: Hacker menghantar "mesej phantom" untuk membohongi LayerZero EndpointV2 supaya percaya bahawa arahan sah telah dihantar dari rangkaian lain. Jambatan Kelp kemudian melepaskan 116.500 rsETH ke rangkaian ethereum tanpa mengurangkan jumlah rsETH yang beredar di rangkaian asal mengikut formula biasa — menjadikannya "titik kegagalan tunggal" (Single Point of Failure). 3) Segera selepas itu – Menukar menjadi hutang buruk: Hacker tidak lari dengan rsETH, tetapi menggunakannya sebagai jaminan di Aave V3, V4, Compound V3, dan Euler untuk meminjam WETH, mencipta apa yang Francesco Andreoli dari Consensys/MetaMask sebut sebagai "massive bad debt" atau hutang buruk besar-besaran berjumlah lebih 236 juta dolar. 4) 18:21 UTC – Kelp tekan butang kecemasan: 46 minit selepas jambatan diserang, Emergency Multisig Kelp DAO menghentikan Smart Contract rsETH di ethereum mainnet dan semua Layer-2. 5) Malam Sabtu – Penyiasat On-chain mengirim isyarat: ZachXBT memuat naik amaran awam, menyebabkan pasukan keselamatan seluruh industri DeFi masuk untuk memantau serentak. 6) Tidak lama selepas itu – Mengepung Aave: Aave mengumumkan freeze pasaran rsETH di V3 dan V4, diikuti oleh SparkLend, Fluid, dan Lido Earn yang berturut-turut menghentikan produk yang berkaitan dengan rsETH. 7) Pagi Ahad – Aave terkunci sepenuhnya: Utilization Rate ( kadar penggunaan likuiditi ) Lending Pool utama Aave mencapai 100%, bermakna mereka yang mendeposit ETH dan Wrapped ETH sebelum ini mempunyai likuiditi sangat sedikit atau hampir tiada untuk ditarik. 8) Tengah hari Ahad – Penarikan menjadi gelombang: Penyimpan yang tidak mampu menarik dana beralih ke pinjaman Stablecoin dengan menggunakan deposit sebagai jaminan, semakin memperketat likuiditi. 0xngmi, salah seorang penubuh DefiLlama, melaporkan bahawa Aave mengalami aliran dana bersih sebanyak 6.2 bilion dolar, atau -23% dari TVL dalam sehari sahaja.. 9) Harga koin mulai melonjak, AAVE jatuh 16% ke level $90.13, ETH jatuh 2% ke $2,300 (sekira RM73,800) . 10) Justin Sun bergabung dalam perbincangan; pendiri Tron memposting di X, menawarkan perundingan langsung dengan peretas, dengan alasan: "Pada akhirnya, uang yang dicuri tetap tidak bisa digunakan, tidak sepadan membuat Aave dan Kelp DAO runtuh bersama-sama" . 11) Operasi berkelanjutan terblokir; peretas mencoba menarik rsETH lagi dua kali, total lebih dari 40,000 koin (sekira $100 juta), tetapi langsung diblokir setelah Kelp menjalankan pause contract . 12) Pernyataan dari Kelp DAO dan LayerZero; kedua pihak sedang melakukan Root Cause Analysis (RCA — analisis akar penyebab) bersama Unichain, auditor, dan SEAL Org, lembaga respons keamanan blockchain . 🔍 Dampak yang Mengungkap Struktur DeFi . Kasus ini membuka dua luka besar sekaligus: pertama, risiko cross-chain bridge yang meskipun kode di satu chain aman, namun saat berkomunikasi lintas chain, terdapat titik lemah pada sistem verifikasi pesan — pola serupa pernah kita lihat di Ronin, Wormhole, dan Nomad. Kedua, "ketergantungan pada jaminan yang sama" antara beberapa protokol; ketika rsETH bermasalah, Aave, Compound, dan Euler langsung terjebak, meskipun kontrak protokol-protokol tersebut tidak secara langsung diserang. . Kerugian langsung Kelp DAO berjumlah $292 juta, sekitar $250 juta di antaranya telah dikonversi menjadi ETH. Kerugian khusus di sisi Aave berjumlah sekira $196 juta, yang mungkin melebihi cakupan Umbrella Reserve (dana cadangan kompensasi Aave), artinya pemegang stkAAVE (AAVE yang ditaruh untuk menjamin sistem) mungkin harus menanggung kerugian sisa tersebut. . Pertanyaan yang patut dipikirkan: Jika hari ini Anda adalah deposan ETH di Aave yang tidak bisa menarik dana Anda hanya karena orang lain menempatkan aset palsu di pool yang sama — apakah Anda masih akan percaya pada DeFi berbasis cross-chain? . #KelpDAO #Aave #DeFi #rsETH #LayerZero