Di Balik Eksploitasi Kelp DAO $293 Juta: Serangan Jembatan yang Menulis Ulang Aturan Keamanan DeFi
Pada 18 April 2026, Kelompok Lazarus Korea Utara menguras $293 juta dari Kelp DAO dengan menipu jembatan LayerZero nya untuk mencetak 116.500 rsETH—serangan pada infrastruktur di luar rantai, bukan bug smart contract—... Kerusakan berantai menghantam Aave dengan kerugian utang tak tertagih $230 juta dari agunan rsET...
What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited oThe Kelp DAO exploit wasn't a smart contract bug—it was an attack on off-chain bridge infrastructure that no one had audited.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What happened in the Kelp DAO $293 million exploit—the largest DeFi breach of 2026—including how the North Korea-linked attacker exploited o. Article summary: On April 18, 2026, North Korea's Lazarus Group executed the largest DeFi exploit of the year, draining ~$293 million (116,500 rsETH) from Kelp DAO's cross-chain bridge by attacking off-chain LayerZero infrastructure — no. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Kelp DAO exploit,DeFi security 2026,cross-chain bridge risks,crypto hack analysis,LayerZero vulnerability,institutional crypto adoption. # Kelp DAO Exploit: How a $293 Million DeFi" source context "Kelp DAO Exploit: $293M DeFi Hack Exposes Critical Security Risks ..." Reference image 2: visual subject "# The $290
openai.com
Pada pukul 17:35 UTC tanggal 18 April 2026, seorang penyerang memanggil satu fungsi di jembatan lintas rantai milik Kelp DAO dan langsung kabur dengan 116.500 token rsETH—sekitar $293 juta (sekitar Rp 4,7 triliun) atau 18% dari seluruh suplai token yang beredar. Aksinya hanya butuh 46 menit . Sang penyerang tidak mengeksploitasi bug smart contract. Mereka justru menyerang infrastruktur pendukung yang tidak pernah terpikir oleh siapa pun untuk diaudit.
Peretasan ini, yang dikaitkan dengan Kelompok Lazarus dari Korea Utara, menjadi eksploitasi DeFi terbesar sepanjang tahun 2026, bahkan melampaui peretasan Drift Protocol senilai $285 juta pada 1 April—aksi yang juga dilakukan oleh Lazarus melalui rekayasa sosial selama enam bulan . Total aset kripto yang dicuri Korea Utara kini menembus $578 juta hanya dalam 18 hari, mencakup 76% dari seluruh nilai peretasan global di tahun 2026 pada periode tersebut .
Namun, serangan ke Kelp DAO berbeda. Ini bukan soal kelemahan kode. Ini adalah kegagalan struktural dalam cara DeFi mempercayai pesan lintas rantai—dan dampaknya menguak titik buta besar yang kini dikejar-kejar oleh seluruh industri untuk diperbaiki.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Di Balik Eksploitasi Kelp DAO $293 Juta: Serangan Jembatan yang Menulis Ulang Aturan Keamanan DeFi"?
Pada 18 April 2026, Kelompok Lazarus Korea Utara menguras $293 juta dari Kelp DAO dengan menipu jembatan LayerZero nya untuk mencetak 116.500 rsETH—serangan pada infrastruktur di luar rantai, bukan bug smart contract—...
Apa poin penting yang harus divalidasi terlebih dahulu?
Pada 18 April 2026, Kelompok Lazarus Korea Utara menguras $293 juta dari Kelp DAO dengan menipu jembatan LayerZero nya untuk mencetak 116.500 rsETH—serangan pada infrastruktur di luar rantai, bukan bug smart contract—... Kerusakan berantai menghantam Aave dengan kerugian utang tak tertagih $230 juta dari agunan rsETH palsu, memaksa Arbitrum Security Council untuk membekukan $71 juta, dan memicu kepanikan likuiditas senilai $13 miliar...
Apa yang harus saya lakukan selanjutnya dalam latihan?
Pelajaran strukturalnya: Audit keamanan DeFi selama ini terlalu fokus pada smart contract, namun mengabaikan konfigurasi verifikator jembatan, keamanan operasional node, dan lapisan pengiriman pesan di luar rantai—di...
Bagaimana eksploitasi sebenarnya terjadi: verifikator tunggal dan pesan palsu
Kelp DAO adalah protokol liquid restaking yang menerbitkan rsETH di lebih dari 20 jaringan blockchain melalui jembatan Omnichain Fungible Token (OFT) dari LayerZero. Saat pengguna menjembatani rsETH kembali ke jaringan utama Ethereum, lapisan pengiriman pesan LayerZero mengirim instruksi lintas rantai yang memberi tahu kontrak jembatan di jaringan utama untuk melepaskan token dari cadangan (escrow).
Keamanan pelepasan ini bergantung pada Decentralized Verifier Networks (DVNs)—simpul (node) di luar rantai yang membuktikan bahwa pesan itu valid. Nah, Kelp DAO mengonfigurasi jembatannya dengan ambang batas DVN 1-dari-1 (1-of-1), yang artinya, cukup satu verifikator saja untuk mengesahkan pesan lintas rantai apa pun .
Penyerang lalu mengkompromikan simpul RPC internal Kelp dan melakukan serangan DDoS ke simpul eksternal, sehingga hanya menyisakan satu verifikator tunggal yang beroperasi. Kemudian, mereka “menyuapinya” dengan pesan palsu yang mengklaim bahwa 116.500 rsETH telah dibakar di rantai sumber. Si verifikator membuktikan pesan itu. Kontrak Ethereum mematuhinya. Dana pun terkirim ke alamat yang dikendalikan penyerang .
Chainalysis mengonfirmasi bahwa setiap transaksi di rantai terlihat sah di mata alat keamanan standar, karena pelanggarannya terjadi sepenuhnya di luar rantai, tepatnya di level infrastruktur dan node . Audit tradisional terhadap smart contract jadi percuma.
Sekitar 46 menit setelah pengurasan awal, multisig darurat milik Kelp menjeda kontrak, mencegah sekitar $200 juta dalam serangan lanjutan yang sudah menanti .
Pencucian uang: bagaimana $220 juta lenyap dalam enam minggu
Sang penyerang tak diam saja. Dalam hitungan jam, 89.567 dari 116.500 rsETH palsu itu sudah disetor ke Aave V3 sebagai jaminan (agunan), dan mereka langsung meminjam sekitar 82.650 WETH serta 821 wstETH—aset bersih nan likuid—sebelum sempat dibekukan siapapun . Peminjaman dengan agunan serupa juga terjadi di Compound dan Euler, total menguras sekitar 74.000 ETH bersih .
Setelah itu, aksi pencucian massal pun dimulai.
Selama enam minggu berikutnya, sang penyerang mencuci hampir semua dana curian yang tak dibekukan—sekitar $220 juta—dan hanya menyisakan sekitar $1,7 juta di dompet asli penyerang per 1 Juni 2026 . Rantai pencucian dilakukan lewat pola dua tahap yang disengaja:
Tahap satu: Tornado Cash dipakai memutus kaitan awal transaksi di rantai untuk mengaburkan grafik pelacakan .
Tahap dua: Dana dialirkan lewat Wasabi Wallet untuk pencampuran bergaya CoinJoin di Bitcoin, lalu dijembatani kembali ke Ethereum melalui protokol lintas rantai—terutama THORChain, yang memproses sekitar $80 juta dalam pertukaran ETH-ke-Bitcoin hanya dalam sehari, mendorong volume swap THORChain menjadi $394 juta, sekitar 11 kali lipat lebih tinggi dari rata-rata hariannya.
TRM Labs belakangan mengonfirmasi bahwa THORChain berperan sebagai jembatan pilihan yang konsisten di seluruh pencurian besar Korea Utara—tanpa ada operator yang bersedia membekukan atau menolak transfer selama pembobolan Bybit di 2025 maupun eksploitasi Kelp DAO .
NS3.AI juga menandai detail baru yang mencekam: sang penyerang menggunakan LayerZero sendiri untuk memindahkan setidaknya $500.000 dana curian melintasi rantai selama fase pencucian—menjadikannya contoh pertama di mana aplikasi yang sama dipakai untuk mencuri sekaligus mencuci uang .
Pembekuan oleh Arbitrum Security Council: $71 juta tercegat di tengah jalan
Tak semua dana berhasil lolos. Pada 20 April 2026, pukul 23:26 ET, Arbitrum Security Council mengeksekusi tindakan darurat untuk membekukan 30.766 ETH—sekitar $71 juta, atau kira-kira seperempat dari total curian—yang tersimpan di alamat terkendali penyerang di Arbitrum One .
Dewan bertindak setelah menerima masukan dari penegak hukum, lalu memindahkan dana ke dompet perantara yang dikendalikan tata kelola. Sembilan dari 12 anggota dewan setuju atas pembekuan ini . Dana tersebut hanya bisa dilepaskan melalui pemungutan suara tata kelola resmi Arbitrum.
Pada 8 Mei 2026, Arbitrum Security Council menyetujui proposal gabungan untuk membuka kembali dana tersebut, demi mempercepat pemulihan agunan rsETH dan memulihkan likuiditas bagi pengguna yang terdampak. Proses pemulihan masih berlangsung dengan keterlibatan penegak hukum .
Peringatan keras buat Aave senilai $230 juta dan perombakan kerangka risiko
Aave menerima kerusakan beruntun yang paling parah. Sang penyerang menyetor 89.567 rsETH palsu ke Aave V3 dan meminjam sekitar $230 juta dalam aset bersih—pinjaman yang menjadi utang macet tak terpulihkan begitu rsETH itu terungkap sebagai token tanpa jaminan .
Aave Protocol Guardian segera membekukan cadangan rsETH dan wrsETH di seluruh penerapan V3 pada sekitar pukul 19:00 UTC tanggal 18 April, menetapkan loan-to-value menjadi nol di 11 pasar terdampak termasuk Ethereum, Arbitrum, Avalanche, dan Optimism . Peminjaman WETH—salah satu komponen inti sistem keuangan DeFi—beku total di enam jaringan.
Pada pertengahan Mei 2026, lebih dari 95% token tak berjamin telah dipulihkan, dan kekurangannya ditargetkan ditanggung oleh kas Aave DAO dan koalisi DeFi United. Aave pun kembali memberlakukan batas normal peminjaman WETH di enam jaringan V3 pada 18 Mei 2026 .
Namun, warisan sesungguhnya ada pada respons tata kelola yang menyusul. Di Consensus Miami 2026, Kepala Hukum dan Kebijakan Aave Labs, Linda Jeng, mengumumkan perombakan fundamental standar pencatatan aset dan evaluasi agunan protokol . Kerangka baru ini kini mencakup:
Kerentanan keamanan siber dan postur keamanan operasional.
Ketergantungan pada infrastruktur jembatan dan risiko verifikator tunggal.
Ketergantungan pada oracle dan paparan kontrak pihak ketiga.
Pengaturan kustodian dan risiko interoperabilitas di seluruh protokol yang saling terhubung.
Sejauh ini, Aave telah menyesuaikan 295 parameter risiko dan menambahkan pertahanan otomatis yang bisa menurunkan loan-to-value aset ke nol begitu ambang batas risiko tertentu terlampaui . Protokol ini sedang meluncurkan tinjauan penuh untuk setiap aset di V3 dan menulis ulang standar pencatatannya dari nol .
Gambaran besar: jembatan kini jadi permukaan serangan paling empuk DeFi
Kelp DAO tak terjadi sendirian. Ini adalah eksploitasi jembatan bernilai sembilan digit kedua dalam 18 hari, setelah pembobolan Drift Protocol senilai $285 juta pada 1 April—juga ulah Kelompok Lazarus lewat rekayasa sosial . Digabung, dua insiden ini mendorong total kerugian DeFi awal 2026 melewati $840 juta.
Dampak sistemiknya bahkan lebih dahsyat dari pencurian langsung. Dalam 48 jam setelah eksploitasi Kelp DAO, $13,21 miliar total nilai terkunci (TVL) lenyap di seluruh DeFi, dengan Aave saja kehilangan 43% TVL-nya di 26 protokol yang dilacak . Gelombang penarikan panik senilai $5,4 miliar menyapu ekosistem .
Serangan ini menguak apa yang disebut Chainalysis sebagai titik buta struktural kritis: keamanan DeFi selama ini terpaku pada audit smart contract, sementara infrastruktur jembatan, keamanan operasional node, dan konfigurasi verifikator tunggal nyaris tak tersentuh .
Perbaikannya sudah dimulai. Protokol kini mulai bermigrasi ke konfigurasi jembatan multi-verifikator. Buku panduan pencatatan baru Aave—yang akan diterbitkan sebagai pedoman resmi untuk proyek penerbit aset—mewajibkan pengungkapan arsitektur jembatan, desentralisasi verifikator, dan praktik keamanan node sebelum derivatif semacam rsETH dapat diterima sebagai jaminan .
Lazarus sukses mengeksploitasi celah antara apa yang diaudit di DeFi dan apa yang sesungguhnya diandalkan oleh DeFi. Respons industri memberi tanda bahwa celah itu kini mulai tertutup, meski dengan biaya pelajaran senilai $293 juta.
thestreet.com
Major DeFi hack becomes the largest of 2026 yet - TheStreet Crypto
Comments
0 comments