Sebuah alat AI sumber terbuka yang tidak banyak orang lihat, sudah memberi peringatan 12 hari yang lalu tentang celah keamanan senilai 292 juta dolar AS di Kelp DAO

Penulis: Zengineer

Terjemahan: Deep潮 TechFlow

Deep潮 Panduan Utama: Pada 18 April, Kelp DAO diretas sebesar 292 juta dolar AS, menjadi insiden DeFi terbesar hingga saat ini tahun 2026. Kerentanannya bukan di kode kontrak cerdas, melainkan di konfigurasi node verifikasi LayerZero cross-chain bridge 1-of-1—satu titik gagal saja bisa memalsukan pesan lintas rantai. Penulis 12 hari yang lalu saat memindai Kelp dengan alat audit AI sumber terbuka yang dikembangkan sendiri, sudah menandai risiko ini. Artikel ini mereview proses serangan secara lengkap, serta jujur merefleksikan tiga hal yang tidak dilakukan alat tersebut dengan benar saat itu.

Apa itu Kelp DAO

Kelp DAO adalah protokol staking ulang likuiditas yang dibangun di atas EigenLayer. Mekanismenya seperti ini: pengguna menyetor ETH atau token staking ulang likuiditas (stETH, ETHx) ke kontrak Kelp, kontrak kemudian menugaskan aset tersebut ke node operasional EigenLayer untuk staking ulang—serta memberikan keamanan ke beberapa AVS (Actively Validated Services, layanan validasi aktif). Sebagai imbalannya, pengguna mendapatkan rsETH sebagai bukti. Berbeda dari staking ulang langsung di EigenLayer (di mana aset terkunci), rsETH bersifat likuid—dapat diperdagangkan, digunakan sebagai jaminan di protokol pinjaman seperti Aave, maupun lintas chain.

Untuk mewujudkan likuiditas lintas chain ini, Kelp menggunakan standar OFT (Omnichain Fungible Token, token seragam seluruh rantai) LayerZero untuk menempatkan rsETH di lebih dari 16 rantai. Saat kamu memindahkan rsETH dari Ethereum ke L2 tertentu, DVN (Decentralized Verifier Network, jaringan verifikasi terdesentralisasi) LayerZero akan memverifikasi keabsahan pesan lintas chain tersebut. Arsitektur jembatan ini adalah inti dari cerita selanjutnya.

Kelp didirikan oleh Amitej Gajjala dan Dheeraj Borra (sebelumnya pendiri bersama Stader Labs), diluncurkan pada Desember 2023, dengan TVL puncaknya 2,09 miliar dolar AS, dan tata kelola menggunakan multi-sig 6/8 plus kunci waktu 10 hari untuk upgrade kontrak. Token tata kelola KERNEL mengelola tiga lini produk: Kelp, Kernel, dan Gain.

Insiden Pencurian

Pada 18 April 2026, penyerang menarik 116.500 rsETH dari cross-chain bridge Kelp DAO, setara sekitar 292 juta dolar AS—menjadi insiden serangan DeFi terbesar hingga saat ini tahun 2026. Penyebab utamanya bukan di kerentanan kontrak cerdas, melainkan di masalah konfigurasi: pengaturan DVN 1-of-1 (hanya satu node verifikasi, cukup satu tanda tangan) memungkinkan penyerang memalsukan pesan lintas chain dengan satu node yang diretas.

12 hari lalu, pada 6 April, alat audit keamanan sumber terbuka yang kami buat sudah menandai risiko ini.

Pertama-tama: pencurian ini benar-benar dilakukan oleh manusia nyata yang merugi secara nyata. Penyimpan WETH di Aave yang tidak pernah berinteraksi dengan rsETH, dana mereka dibekukan; LP di berbagai protokol harus menanggung kerugian yang sebenarnya tidak mereka setujui. Artikel ini menganalisis apa yang terjadi, apa yang alat kami tangkap—namun biaya kerugian nyata yang dialami orang jauh lebih penting daripada skor penilaian apa pun.

Laporan lengkap tersedia di GitHub, dengan cap waktu commit yang dapat diverifikasi siapa saja. Berikutnya, kita bahas apa yang berhasil kami tangkap, apa yang terlewatkan, dan apa arti kejadian ini bagi alat keamanan DeFi.

46 Menit, Gempa DeFi

Pada waktu UTC 17:35, 18 April, penyerang menembus node verifikasi DVN yang terisolasi, lalu memerintahkan node tersebut “menyetujui” pesan palsu lintas chain. Endpoint LayerZero melihat DVN menyetujui, lalu meneruskan pesan melalui lzReceive ke kontrak OFT Kelp—kontrak tersebut mengeksekusi, dan di mainnet Ethereum mencetak 116.500 rsETH. Pesan tersebut mengklaim bahwa aset yang dikunci di rantai lain sebagai jaminan, padahal aset tersebut sebenarnya tidak pernah ada.

Selanjutnya, dilakukan serangkaian proses pencucian uang standar DeFi:

Menggunakan rsETH yang dicuri sebagai jaminan di Aave V3, Compound V3, Euler

Meminjam sekitar 236 juta dolar WETH dengan jaminan tersebut yang tidak nyata

Mengkonsolidasikan sekitar 74.000 ETH, lalu menariknya melalui Tornado Cash

Setelah 46 menit, tepatnya pukul 18:21, tim darurat Kelp menutup kontrak dengan multi-sig. Penyerang kemudian melakukan dua serangan lanjutan (masing-masing 40.000 rsETH, sekitar 100 juta dolar) yang semuanya dibatalkan—penutupan ini mencegah kerugian sekitar 200 juta dolar lagi.

Namun, dampaknya tetap besar. Aave V3 menanggung kerugian sekitar 177 juta dolar. Harga token AAVE turun 10,27%. ETH turun 3%. Penggunaan WETH di Aave langsung mencapai 100%, pengguna berebut menarik dana. Lebih dari 20 L2 yang memuat rsETH, semalam menjadi aset yang nilainya diragukan.

6 April, Apa yang Ditemukan dalam Laporan

Awal April, tak lama setelah insiden pencurian sebesar 285 juta dolar di Drift Protocol pada 1 April, saya membuat sebuah kerangka penilaian risiko berbasis AI bernama crypto-project-security-skill—menggunakan data terbuka (DeFiLlama, GoPlus, Safe API, verifikasi on-chain) untuk menilai keamanan protokol DeFi. Ini bukan alat pemindaian kode, bukan verifikasi formal. Insiden Drift menunjukkan satu hal: kerentanan terbesar bukan di kode kontrak, melainkan di kelemahan tata kelola, konfigurasi, dan arsitektur—tempat yang tidak bisa dideteksi oleh alat pemindaian kode. Maka saya buat alat khusus untuk menilai lapisan ini: struktur tata kelola, ketergantungan oracle, mekanisme ekonomi, arsitektur lintas chain, membandingkan setiap protokol dengan pola serangan terkenal (Drift, Euler, Ronin, Harmony, Mango).

Pada 6 April, saya melakukan audit lengkap terhadap Kelp DAO. Laporan lengkap tersedia di GitHub, dengan cap waktu commit yang tidak bisa diubah.

Skor gabungan untuk Kelp adalah 72/100 (risiko sedang). Setelahnya, saya menyadari bahwa skor ini terlalu longgar—beberapa celah informasi lintas chain yang tidak dijawab seharusnya menurunkan skor. Ketidaktransparanan sendiri sudah merupakan sinyal bahaya.

Gambar berikut adalah kutipan bagian “celah informasi” dari laporan—tentang masalah konfigurasi DVN Kelp, yang akhirnya menjadi akar penyebab pencurian 292 juta dolar:

Keterangan gambar: Bagian “celah informasi” laporan 6 April, yang menyoroti konfigurasi DVN yang tidak transparan

Selanjutnya, mari kita bandingkan apa yang ditandai dalam laporan dan apa yang benar-benar ditembus.

Temuan 1: Konfigurasi DVN Tidak Transparan (Sinyal Peringatan)

Laporan asli: “Konfigurasi LayerZero DVN (kumpulan validator di setiap rantai, ambang batas) tidak dipublikasikan”

Apa yang sebenarnya terjadi: Kelp menjalankan konfigurasi DVN 1-of-1. Satu node. Titik tunggal. Jika node ini diretas, penyerang bisa memalsukan pesan lintas chain. Kalau konfigurasi 2-of-3 (rekomendasi minimum industri), penyerang harus menembus beberapa validator independen sekaligus.

Perlu ditegaskan: Ini masalah Kelp, bukan LayerZero. LayerZero adalah infrastruktur—menyediakan kerangka DVN, setiap protokol memilih konfigurasi sendiri: berapa validator (1-of-1, 2-of-3, 3-of-5…), siapa yang menjalankan node, berapa ambang batas di setiap rantai. Saat deploy jembatan OFT, Kelp memilih 1-of-1. LayerZero sepenuhnya mendukung 2-of-3 atau lebih tinggi—hanya Kelp yang tidak mengaktifkannya.

Contoh: AWS menyediakan MFA (Multi-Factor Authentication). Jika akunmu diretas karena tidak mengaktifkan MFA, itu masalahmu, bukan AWS. LayerZero menempatkan mekanisme keamanan di sana, Kelp tidak menggunakannya.

Laporan kami saat itu tidak bisa memastikan ambang DVN secara spesifik (karena Kelp tidak pernah mengungkapkannya), tapi kami tegas menyebut ini sebagai celah informasi tidak transparan dan risiko. Tidak mengungkapkan sendiri sudah menjadi bendera merah.

Temuan 2: Single Point Failure di 16 Rantai (Langsung Terpukul)

Laporan asli: “Single point failure DVN LayerZero dapat mempengaruhi 16 rantai yang mendukung rsETH”

Apa yang sebenarnya terjadi: Pesan palsu langsung mempengaruhi mainnet Ethereum, menyebar ke semua rantai yang memuat rsETH. LayerZero secara preventif menangguhkan semua jembatan OFT yang keluar dari Ethereum. Pemilik rsETH di lebih dari 20 L2, dalam semalam, tidak yakin apakah token mereka masih dijamin.

Ini risiko sistemik multi-rantai: rsETH beredar di Arbitrum, Optimism, Base, Scroll, dan lain-lain, tetapi nilainya bergantung pada aset di mainnet Ethereum. Jika jembatan utama diretas, semua rsETH di L2 kehilangan jaminan—pemilik tidak bisa menebus, dan tidak bisa memverifikasi nilai token mereka. Lido earnETH (eksposur rsETH), Ethena dengan LayerZero bridge—semuanya harus dihentikan. Radius dampaknya jauh melampaui Kelp sendiri.

Temuan 3: Kontrol Tata Kelola Lintas Chain Tanpa Verifikasi (Pertanyaan Terkait)

Laporan asli: “Kontrol tata kelola konfigurasi LayerZero OFT di setiap rantai tidak diverifikasi—terutama: apakah kontrol ini milik multi-sig 6/8 dan kunci waktu 10 hari, atau dikelola kunci manajemen independen”

Apa yang sebenarnya terjadi: Konfigurasi DVN jelas tidak di bawah tata kelola protokol inti secara ketat. Jika perubahan konfigurasi jembatan juga diatur oleh multi-sig 6/8 dan kunci waktu 10 hari, maka konfigurasi 1-of-1 harus disetujui 6 dari 8 signer—yang tidak mungkin tidak pernah diawasi.

Ini mengungkap celah umum dalam tata kelola: banyak protokol mengatur upgrade kontrak inti dengan multi-sig dan kunci waktu ketat, tapi di lapisan operasional—konfigurasi jembatan, parameter oracle, whitelist—sering hanya dikelola satu admin key. Tata kelola Kelp sendiri sudah terdepan (multi-sig 6/8 + kunci waktu 10 hari), tapi perlindungan ini tidak menjangkau titik serangan terbesar: jembatan lintas chain.

Temuan 4: Pola Serangan Mirip Ronin/Harmony (Langsung Terpukul)

Laporan asli: “Kasus sejarah terkait keamanan jembatan. Deploy LayerZero di 16 rantai di Kelp menyerupai arsitektur multi-rantai Ronin”

Apa yang sebenarnya terjadi: Jalur serangan hampir sempurna meniru skenario Ronin—menembus validator jembatan, memalsukan pesan, menguras aset. Modul deteksi pola serangan alat kami membandingkan arsitektur protokol dan pola serangan sejarah, dan mengenali ini sebagai vektor risiko tertinggi.

Latar belakang sejarah: 2022, Ronin diretas oleh 5 validator dari 9, kehilangan 625 juta dolar. Tahun yang sama, Harmony Horizon Bridge diretas oleh 2 validator dari 5, kehilangan 100 juta dolar. Situasi Kelp lebih ekstrem—hanya satu validator, sehingga ambang serangannya sangat rendah. Kemampuan alat menandai risiko ini karena otomatis membandingkan arsitektur protokol dengan pola serangan masa lalu, bukan hanya membaca kode.

Temuan 5: Tidak Ada Asuransi (Memperbesar Kerugian)

Laporan asli: “Protokol saat ini tidak memiliki dana asuransi khusus, maupun mekanisme sosialisasi kerugian untuk menanggung insiden penalti”

Apa yang sebenarnya terjadi: Tanpa cadangan asuransi, kerugian 292 juta dolar sepenuhnya ditanggung protokol downstream. Cadangan penarikan Aave hanya menutup kurang dari 30% dari kerugian 177 juta dolar. LP yang tidak terkait langsung dengan konfigurasi jembatan Kelp, menanggung beban terbesar.

Penyerang menggunakan rsETH yang dicuri sebagai jaminan di Aave V3, Compound V3, Euler, lalu meminjam WETH asli. Jika rsETH tidak lagi dijamin, posisi tersebut menjadi kerugian tak terpaksa likuidasi—jaminan menjadi tidak berharga, sementara WETH yang dipinjam sudah hilang. Penggunaan WETH di Aave langsung mencapai 100%, pengguna tidak bisa menarik dana. Jika kamu adalah penyetor WETH di Aave, meskipun tidak pernah berinteraksi dengan rsETH, dana kamu tetap terpengaruh. Asuransi dari Nexus Mutual dan Kelp sendiri hanya melindungi produk tertentu, tidak mencakup eksposur utama dari protokol rsETH.

Ini adalah kegagalan tanggung jawab kedua belah pihak: Kelp sebagai protokol dengan TVL 1,3 miliar dolar, tanpa dana asuransi dan mekanisme penyerapan kerugian. Saat jembatan diretas, tidak ada buffer yang mampu menyerap kerusakan. Aave menerima rsETH sebagai jaminan, tapi tidak cukup menilai risiko konfigurasi lintas chain. Parameter risiko Aave (LTV, threshold likuidasi) dirancang untuk fluktuasi harga normal, bukan untuk risiko ekstrem “jembatan diretas dan jaminan hilang semalam”. Cadangan penarikan tidak mampu menutup 30% kerugian. Pada dasarnya, ini kegagalan penetapan harga risiko: Aave memperlakukan rsETH sebagai aset fluktuatif normal, padahal sebenarnya membawa risiko tail event “jembatan gagal”. Kegagalan kedua pihak ini saling memperbesar—Kelp tanpa asuransi tidak mampu menahan kerusakan, Aave tidak melakukan pemodelan risiko cukup detail untuk membatasi eksposur dalam skenario ini.

Di mana kita salah

Tiga hal yang seharusnya dilakukan lebih baik:

1. Penilaian risiko terlalu rendah. Kami menilai risiko jembatan lintas chain sebagai “sedang”. Dalam laporan, 5 dari 6 celah informasi tidak terselesaikan terkait konfigurasi LayerZero, dan cocok dengan pola serangan Ronin/Harmony—seharusnya dinilai “tinggi” atau “serius”. Ketidaktransparanan sendiri sudah harus menjadi sinyal bahaya yang lebih kuat.

2. Kami gagal menembus lapisan konfigurasi. Laporan berulang meminta Kelp mengungkapkan ambang DVN, tapi kami tidak bisa memverifikasi secara independen. Ini sama seperti analisis pasca kejadian dari 鉅亨網: alat audit yang ada fokus pada logika kode, tidak mampu mendeteksi risiko di lapisan konfigurasi. Kami menandai masalah, tapi tidak bisa menjawabnya.

3. Kami tidak memeriksa on-chain. Konfigurasi DVN sebenarnya bisa dibaca langsung dari kontrak EndpointV2 LayerZero di chain. Kami seharusnya bisa query registry ULN302 untuk memverifikasi ambang DVN Kelp secara independen, bukan menandai sebagai “tidak dipublikasikan”. Kalau saat itu kami lakukan, pasti langsung tahu konfigurasi 1-of-1, dan tidak perlu menunggu pengungkapan dari Kelp. Ini adalah arah perbaikan paling konkret: menambahkan verifikasi konfigurasi DVN di on-chain dalam proses penilaian lintas chain.

Temuan ini tidak cukup spesifik dan tidak cukup dapat ditindaklanjuti. Menyatakan “konfigurasi DVN tidak dipublikasikan” hanyalah pengamatan terhadap kekurangan dokumentasi—bukan prediksi serangan. Risiko seperti ketergantungan oracle, konfigurasi jembatan, kurangnya asuransi, sebenarnya juga umum di banyak protokol lintas chain. Alat kami menandai ketidaktransparanan Kelp, tapi juga menandai pola serupa di puluhan protokol lain yang belum diserang. Tanpa tingkat false positive yang diketahui, klaim “kami sudah memprediksi” terlalu berlebihan. Lebih jujur, kami bertanya pada pertanyaan penting yang jarang diajukan: salah satu dari pertanyaan itu secara kebetulan menjadi titik utama risiko.

Tentang “Pengungkapan Bertanggung Jawab”

Pertanyaan adil: jika kami sudah menandai risiko ini sejak 6 April, mengapa tidak memberi tahu Kelp sebelum 18 April?

Tidak memberi tahu. Sebabnya: laporan kami mengidentifikasi ketidaktransparanan—“konfigurasi DVN tidak dipublikasikan”—bukan celah eksploitasi spesifik. Kami tidak tahu konfigurasi pasti 1-of-1, hanya tahu tidak dipublikasikan. Tidak cukup detail untuk diungkapkan. “Konfigurasi jembatan tidak terdokumentasi” adalah pengamatan tata kelola, bukan bug yang layak untuk bounty.

Setelah kejadian, sebenarnya kami bisa langsung menghubungi tim Kelp dan menanyakan ambang DVN mereka. Percakapan itu mungkin bisa mengungkap konfigurasi 1-of-1 dan mendorong perbaikan. Kami tidak melakukannya. Ini pelajaran: meskipun temuan tampak terlalu samar untuk pengungkapan resmi, mengirim pesan pribadi tetap berharga.

Apa arti kejadian ini bagi keamanan DeFi

Kelp yang diretas—seperti insiden Drift 17 hari sebelumnya—b bukan kerentanan kontrak cerdas. Slither, Mythril, bahkan GoPlus, tidak bisa mendeteksi. Kerentanannya tersembunyi di konfigurasi deployment, kelemahan tata kelola, keputusan arsitektur—berada di atas kode.

Ini juga inti dari klaim utama crypto-project-security-skill:

Keamanan protokol tidak hanya soal kode. Sebuah protokol bisa punya Solidity sempurna, diaudit lima kali oleh perusahaan top, dan punya bounty 250.000 dolar—tapi tetap bisa diretas karena konfigurasi validator jembatan yang salah, hingga kehilangan 292 juta dolar.

Alat ini di GitHub terbuka—siapa saja bisa meninjau metodologi, menjalankan sendiri, atau memperbaikinya.

Timeline

12 hari. Sinyal sudah ada sejak lama. Masalahnya: bagaimana membangun alat yang mampu mendeteksi sinyal ini sebelum jembatan berikutnya diretas?

Apa yang bisa kamu lakukan

Jika kamu punya aset di protokol DeFi yang memakai jembatan lintas chain:

Lakukan audit sendiri. Alat ini sumber terbuka. Jangan percaya begitu saja—verifikasi sendiri.

Periksa konfigurasi validator jembatan. Jika protokol tidak mau mengungkapkan ambang DVN, anggap itu sebagai bendera merah. Laporan kami melakukan hal ini, dan terbukti benar.

Jangan anggap audit kode sebagai satu-satunya perlindungan. Kelp sudah menjalani lebih dari lima audit dari perusahaan dan platform terkenal (Code4rena, SigmaPrime, MixBytes). Audit kode tradisional tidak dirancang untuk mendeteksi risiko lapisan konfigurasi seperti pengaturan DVN—itu jenis analisis berbeda, dan bukan kelalaian auditor.

Evaluasi perlindungan asuransi. Jika sebuah protokol tidak punya dana asuransi, dan kamu adalah LP di platform pinjaman yang menerima tokennya sebagai jaminan, secara implisit kamu menanggung risiko tersebut. Kali ini, penyetor WETH di Aave belajar hal itu secara keras.

Gambaran besar: AI Agent sebagai lapisan keamanan

Artikel ini membahas sebuah alat dan satu insiden pencurian. Tapi pesan utamanya lebih besar: AI Agent bisa menjadi lapisan keamanan independen bagi investor DeFi.

Model keamanan tradisional di crypto: protokol menyewa auditor, auditor memeriksa kode, lalu mengeluarkan laporan. Pola ini punya celah—insiden Kelp membuktikan: fokusnya pada kode benar, tapi mengabaikan konfigurasi, tata kelola, dan risiko arsitektur.

Claude Code dan alat serupa menawarkan jalur lain: siapa saja bisa menggunakan data terbuka, dalam hitungan menit melakukan penilaian risiko berbasis AI terhadap protokol apa pun. Kamu tidak perlu membayar 200.000 dolar untuk auditor. Kamu tidak perlu mengerti Solidity. Agent ini membandingkan arsitektur protokol dengan pola serangan yang sudah diketahui, dan mengajukan pertanyaan penting yang harusnya diajukan sebelum menyimpan dana.

Ini tidak akan menggantikan audit profesional—tapi menurunkan ambang batas due diligence awal ke tingkat yang bisa digunakan semua orang. LP yang mempertimbangkan investasi di protokol staking ulang baru sekarang bisa menjalankan audit defi, mendapatkan penilaian risiko terstruktur tentang tata kelola, oracle, jembatan, dan mekanisme ekonomi. Ini adalah perubahan nyata dalam perlindungan diri bagi investor ritel dan menengah.

Laporan Kelp memang tidak sempurna. Skornya untuk risiko jembatan adalah sedang, padahal seharusnya serius. Ia tidak menembus lapisan konfigurasi. Tapi ia mengajukan pertanyaan yang benar—jika tim Kelp atau LP lain saat itu serius memperhatikan pertanyaan ini, kerugian 292 juta dolar bisa dihindari.

Referensi

CoinDesk: Serangan Kripto Terbesar 2026—Kelp DAO Diretas 292 Juta Dolar

Crypto Briefing: Serangan Jembatan Kelp DAO sebesar 292 Juta Dolar

DL News: Peretas Serang Protokol DeFi Kelp DAO, Kerugian sekitar 300 Juta Dolar

Bitcoin.com: ZachXBT Ungkap Insiden Serangan KelpDAO Lebih dari 280 Juta Dolar

鉅亨網: Kerentanan 2,93 Miliar Dolar Tidak di Kode

Pernyataan resmi Aave di X

Laporan Keamanan Kelp DAO lengkap (6 April 2026)

kode sumber crypto-project-security-skill