Eksploit KelpDAO April 2026 Memicu Krisis Likuiditas Terbesar Aave
18 April 2026: penyerang memalsukan pesan lintas‑chain pada bridge KelpDAO dan mencetak 116.500 rsETH ( $292 juta), lalu menggunakannya sebagai agunan di Aave untuk meminjam WETH. Aave tidak diretas; krisis terjadi karena aset agunan (rsETH) ternyata tidak memiliki backing setelah eksploitasi bridge.
What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use stoThe April 2026 KelpDAO exploit showed how vulnerabilities in cross‑chain bridges can cascade into major DeFi lending protocols.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What happened in the April 2026 KelpDAO exploit that led Aave to incur major bad debt and lose 44% of its TVL, how did the attackers use sto. Article summary: The April 2026 incident was not an Aave smart-contract hack; it was a KelpDAO rsETH bridge failure that let an attacker create/release unbacked rsETH, then use it as collateral on Aave V3 to borrow real WETH/ETH, leaving. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears. After the Kelp DAO exploit, the attacker used $292 million in stolen rsETH as collateral on A" source context "Aave’s TVL Tanks $6.6 Billion as Kelp DAO Hack Sparks Bad Debt and Structural Fears - Unchained" Reference image 2:
openai.com
Gambaran Singkat
Pada April 2026, dunia decentralized finance (DeFi) diguncang oleh salah satu insiden keamanan terbesar tahun itu. Kerentanan pada cross‑chain bridge KelpDAO untuk token liquid restaking rsETH memungkinkan penyerang menciptakan ratusan juta dolar token yang sebenarnya tidak memiliki jaminan (unbacked).
Token tersebut kemudian disetor sebagai agunan di berbagai platform pinjaman DeFi—terutama Aave V3—untuk meminjam aset nyata seperti wrapped Ether (WETH).
Dampaknya cepat dan luas. Aave akhirnya menanggung bad debt ratusan juta dolar, sementara total value locked (TVL) protokol tersebut turun sekitar 44% dalam sebulan, dari sekitar $26,6 miliar menjadi $14,8 miliar.
Penting dicatat: smart contract Aave tidak diretas. Krisis ini muncul karena aset agunan yang masuk ke dalam protokol ternyata telah kehilangan backing akibat kegagalan bridge.
Apa yang Terjadi pada Eksploit KelpDAO
Serangan terjadi pada 18 April 2026 ketika seorang aktor jahat mengeksploitasi celah konfigurasi pada bridge berbasis LayerZero milik KelpDAO yang digunakan untuk memindahkan token rsETH antar‑chain.
Penyerang mengirim pesan verifikasi lintas‑chain palsu yang diterima oleh bridge.
Hal ini memungkinkan mereka membuka atau mencetak sekitar , senilai kira‑kira .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Eksploit KelpDAO April 2026 Memicu Krisis Likuiditas Terbesar Aave"?
18 April 2026: penyerang memalsukan pesan lintas‑chain pada bridge KelpDAO dan mencetak 116.500 rsETH ( $292 juta), lalu menggunakannya sebagai agunan di Aave untuk meminjam WETH.
Apa poin penting yang harus divalidasi terlebih dahulu?
18 April 2026: penyerang memalsukan pesan lintas‑chain pada bridge KelpDAO dan mencetak 116.500 rsETH ( $292 juta), lalu menggunakannya sebagai agunan di Aave untuk meminjam WETH. Aave tidak diretas; krisis terjadi karena aset agunan (rsETH) ternyata tidak memiliki backing setelah eksploitasi bridge.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Sekitar 13.000 ETH berhasil dipulihkan, sementara sekitar 30.766 ETH masih dibekukan oleh Arbitrum dalam proses hukum.
Eksploit KelpDAO April 2026 Memicu Krisis Likuiditas Terbesar Aave | Jawaban | Studio Global
116.500 rsETH
$292–$294 juta
Jumlah tersebut setara dengan sekitar 18% dari total pasokan rsETH yang beredar saat itu.
Masalah utamanya berasal dari konfigurasi bridge yang hanya menggunakan satu verifier (1‑of‑1 DVN) untuk memvalidasi pesan lintas‑chain.
Karena tidak ada ETH yang benar‑benar dikunci atau dibakar di chain asal, rsETH yang dilepaskan tidak memiliki aset pendukung. Namun pada awalnya token itu masih terlihat sah bagi protokol lain.
Seluruh eksploitasi dilaporkan berlangsung kurang dari satu jam sebelum sistem darurat dihentikan.
Bagaimana rsETH Curian Digunakan untuk Menguras Likuiditas Aave
Alih‑alih langsung menjual token curian di pasar, penyerang memanfaatkan mekanisme pinjaman DeFi.
1. Menyetor rsETH sebagai agunan
Penyerang menyetor sebagian besar token curian ke pool pinjaman Aave V3 melalui beberapa wallet. Diperkirakan sekitar 89.000 rsETH akhirnya digunakan sebagai agunan di Aave.
2. Meminjam aset nyata
Dengan nilai agunan yang tampak valid, penyerang meminjam WETH dan aset berbasis ETH lainnya dari pool likuiditas.
3. Mengonversi agunan menjadi ETH likuid
Total pinjaman yang berhasil diambil diperkirakan mencapai lebih dari $236 juta dalam WETH dan aset terkait sebelum pasar bereaksi.
Strategi ini mengubah eksploitasi bridge menjadi drain likuiditas nyata dari protokol pinjaman.
Ketika masalah backing rsETH akhirnya diketahui, agunan tersebut pada dasarnya tidak lagi cukup untuk menutup pinjaman. Akibatnya Aave menghadapi bad debt sekitar $177 juta hingga $200 juta.
Dampak Langsung pada Aave dan Pasar DeFi
Insiden ini memicu salah satu guncangan likuiditas tercepat dalam sejarah DeFi.
Beberapa efek langsungnya:
Utilisasi pool WETH hampir mencapai 100% karena banyak pinjaman baru.
Penarikan dana besar‑besaran dari pool Aave terjadi karena kekhawatiran investor.
Banyak protokol DeFi lain juga mengalami arus keluar dana setelah insiden tersebut.
Dalam beberapa minggu berikutnya, TVL Aave turun drastis. Data analitik DeFi menunjukkan penurunan dari sekitar $26,6 miliar menjadi $14,8 miliar, atau sekitar −44%.
Fenomena ini sering digambarkan seperti "bank run" di DeFi, meskipun sistem kontrak pintar Aave sendiri tetap aman.
Respons Darurat Aave
Tim risiko dan governance Aave bergerak cepat untuk membatasi kerusakan.
1. Membekukan pasar berisiko
Dalam hitungan jam setelah eksploitasi:
Pasar rsETH dan wrsETH dibekukan di seluruh deployment Aave V3.
Rasio loan‑to‑value (LTV) diturunkan menjadi nol untuk mencegah pinjaman baru.
Tak lama kemudian, pembatasan juga diterapkan pada pasar WETH di beberapa jaringan untuk menghentikan arus keluar likuiditas sementara sistem distabilkan.
2. Melikuidasi posisi penyerang
Ketika rencana pemulihan berjalan, Aave melakukan likuidasi terkontrol pada posisi yang terkait dengan penyerang.
Likuidasi ini berhasil melepaskan sekitar 13.000 ETH (~$30 juta) dari posisi tersebut.
Aset yang berhasil dipulihkan dipindahkan ke Recovery Guardian multisig yang dikelola oleh DeFi United, bagian dari upaya ekosistem untuk menutup kekurangan backing rsETH.
3. Mengaktifkan kembali pasar
Setelah stabilisasi, operasi pasar dibuka kembali secara bertahap.
Pada 18 Mei 2026, Aave:
Mengembalikan rasio LTV WETH ke level sebelum insiden.
Mengaktifkan kembali pinjaman WETH di jaringan utama seperti Ethereum Core, Ethereum Prime, Arbitrum, Base, Mantle, dan Linea.
Langkah ini menjadi sinyal penting bagi pemulihan kepercayaan likuiditas di protokol.
Dana yang Dipulihkan dan yang Masih Dibekukan
Situasi finansial setelah eksploitasi cukup kompleks.
Dana yang berhasil dipulihkan
Sekitar 13.000 ETH (~$30 juta) berhasil diperoleh dari likuidasi posisi penyerang.
Dana yang masih dibekukan
Arbitrum Security Council membekukan sekitar 30.766 ETH (~$71 juta) yang terkait dengan eksploitasi.
Dana tersebut dipindahkan ke wallet perantara yang hanya bisa diakses melalui mekanisme governance sambil menunggu keputusan hukum.
Proses pengadilan membuat dana tersebut belum dapat digunakan untuk pemulihan penuh.
Bahkan setelah likuidasi, laporan menunjukkan rsETH masih memiliki kesenjangan backing sekitar 10%, menegaskan besarnya dampak kegagalan bridge tersebut.
Mengapa Eksploit Ini Penting bagi Infrastruktur DeFi
Kasus ini membuka beberapa risiko sistemik dalam ekosistem DeFi.
Risiko konfigurasi bridge
Masalah utama bukan pada teknologi LayerZero itu sendiri, tetapi pada konfigurasi implementasinya. Sistem dengan satu verifier saja berarti satu jalur validasi yang disusupi sudah cukup untuk menyetujui transaksi palsu.
Penularan risiko antar protokol
Eksploit ini menunjukkan bagaimana kerentanan pada satu protokol dapat menular ke protokol lain jika token tersebut digunakan secara luas sebagai agunan.
Dinamika bank run di DeFi
Krisis ini memperlihatkan bahwa kepercayaan pengguna sangat menentukan stabilitas likuiditas. Ketika kepercayaan turun, penarikan dana bisa terjadi sangat cepat.
Perubahan manajemen risiko
Setelah insiden ini, banyak pihak di DeFi menyerukan:
proses listing agunan yang lebih ketat
batas pasokan (supply caps) lebih konservatif
verifikasi lintas‑chain yang lebih kuat
circuit breaker untuk aset bridge atau restaking
Kesimpulan
Eksploit KelpDAO pada April 2026 menjadi pelajaran penting bagi DeFi: keamanan protokol tidak hanya bergantung pada smart contract, tetapi juga pada kualitas aset yang digunakan sebagai agunan.
Aave sendiri tidak diretas. Namun masuknya rsETH tanpa jaminan senilai sekitar $292 juta ke dalam pasar pinjaman menciptakan guncangan likuiditas besar, menghasilkan bad debt ratusan juta dolar dan memicu salah satu penurunan TVL terbesar dalam sejarah DeFi.
Sejak itu, insiden ini sering dijadikan studi kasus utama tentang risiko bridge lintas‑chain dan efek domino antar protokol DeFi.
cryptotimes.io
Who Bears the KelpDAO rsETH Losses — Aave, rsETH Holders, or ...
Comments
0 comments