#KelpDAOBridgeHacked

Eksploitasi DeFi Terbesar Tahun 2026 – Jembatan rsETH Kelp DAO Dihabiskan $292 Juta
Pada 18 April 2026, sekitar pukul 17:35 UTC, protokol staking likuiditas Kelp DAO mengalami pelanggaran keamanan besar pada jembatan lintas rantai yang didukung LayerZero. Penyerang berhasil menguras 116.500 rsETH (Ether yang di-stake ulang), bernilai sekitar $292–293 juta. Jumlah ini mewakili sekitar 18% dari total pasokan beredar rsETH dan menjadi hack DeFi terbesar yang tercatat pada tahun 2026 sejauh ini.
Bagaimana Serangan Terjadi
Jembatan rsETH Kelp DAO bergantung pada infrastruktur pesan lintas rantai LayerZero, khususnya kontrak EndpointV2, untuk memungkinkan transfer aset yang mulus antar blockchain berbeda. Penyerang memanfaatkan ini dengan memanggil fungsi lzReceive dan menyuntikkan pesan lintas rantai palsu. Pesan yang dimanipulasi ini menipu logika verifikasi jembatan agar percaya bahwa dana yang sah telah tiba dari jaringan lain, menyebabkan pelepasan 116.500 rsETH langsung ke alamat yang dikendalikan penyerang.
Dompet yang digunakan dalam eksploitasi ini telah didanai melalui Tornado Cash sekitar 10 jam sebelumnya—sebuah teknik umum untuk menyembunyikan asal-usul transaksi. Jembatan ini aktif di mainnet Ethereum dan beberapa jaringan Layer-2, termasuk Arbitrum, yang memfasilitasi dampak lintas rantai yang cepat. Analis menunjukkan bahwa ketergantungan berlebihan pada konfigurasi default dan dokumentasi LayerZero turut menjadi faktor penyumbang.
Respons Cepat Kelp DAO
Tim Kelp DAO mendeteksi aktivitas mencurigakan ini dengan cepat dan mengeluarkan pernyataan:
“Kami mengidentifikasi aktivitas lintas rantai mencurigakan yang melibatkan rsETH. Sementara penyelidikan masih berlangsung, kami telah menghentikan kontrak rsETH di mainnet dan beberapa jaringan L2. Kami bekerja sama dengan LayerZero, Unichain, auditor kami, dan para ahli keamanan terkemuka untuk analisis akar penyebab.”
Dengan segera menghentikan kontrak rsETH, protokol mencegah potensi pengurasan lanjutan yang diperkirakan mencapai $100 juta atau lebih. Namun, kerugian likuiditas ini sangat mempengaruhi nilai rsETH dan meninggalkan aset ETH yang dibungkus terdampar di lebih dari 20 rantai berbeda.
Efek Domino di Seluruh DeFi dan Krisis Likuiditas
Hack ini memicu “penarikan bank” secara luas di ekosistem DeFi. Platform pinjaman utama seperti Aave mengaktifkan pembekuan pasar darurat, dengan sekitar $9 miliar (sekitar 33% dari TVL-nya) ditarik dan sekitar $196–236 juta dalam utang buruk tercipta. Tekanan likuiditas serupa juga menimpa protokol seperti SparkLend, Fluid, Upshift, Morpho, dan lainnya.
Total nilai terkunci (TVL) di DeFi secara keseluruhan menurun sebesar $8–13 miliar dalam waktu 48 jam, bahkan beberapa pool Solana mengalami tekanan. Insiden ini sekali lagi menyoroti jembatan lintas rantai sebagai salah satu komponen paling rentan dalam infrastruktur DeFi. Hanya dalam April 2026, kerugian total akibat hack telah melebihi (juta, dengan kejadian Kelp DAO melampaui rekor sebelumnya yang ditetapkan oleh insiden Drift Protocol )sekitar $280–286 juta$600 hanya tiga minggu sebelumnya.
Spekulasi Kelompok Lazarus dan Penyidikan Berlangsung
Beberapa perusahaan keamanan dan analis on-chain menyarankan kemungkinan hubungan dengan Kelompok Lazarus yang terkait Korea Utara, dengan LayerZero juga menunjukkan sinyal terkait. Belum ada konfirmasi resmi yang dikeluarkan. Sebagian dana yang dicuri telah ditukar menjadi ETH di Ethereum dan Arbitrum saat penyerang berusaha menyembunyikan jejaknya; upaya pelacakan terus dilakukan.
Pelajaran untuk Industri
Peretasan jembatan Kelp DAO menegaskan risiko besar yang melekat pada staking likuiditas dan arsitektur jembatan omnichain. Meskipun LayerZero dan solusi serupa menyediakan interoperabilitas yang kuat, mereka tetap rentan terhadap titik kegagalan tunggal dan serangan pemalsuan pesan.
Kelp DAO berkomitmen untuk merilis laporan post-mortem yang rinci setelah penyelidikan lengkap selesai. Bagi pengguna dan pengembang DeFi, peristiwa ini menjadi pengingat keras akan pentingnya memperkuat keamanan jembatan, menerapkan sistem verifikasi multi yang kokoh, dan meningkatkan protokol tanggap darurat.