#KelpDAOBridgeHacked

Eksploit jembatan KelpDAO bukan sekadar judul berita peretasan kripto lainnya. Ini adalah pengingat serius bahwa dalam DeFi, risiko terbesar sering kali bukanlah produk utama yang dipercaya pengguna setiap hari, tetapi infrastruktur yang beroperasi di bawahnya.

Pada 18 April, seorang penyerang menguras 116.500 rsETH dari pengaturan jembatan KelpDAO, bernilai sekitar $290–$293 juta pada saat itu. Itu mewakili hampir 18% dari pasokan sirkulasi rsETH. Beberapa laporan menggambarkannya sebagai eksploitasi DeFi terbesar tahun 2026 sejauh ini.

Yang membuat insiden ini sangat penting adalah bahwa model restaking inti sendiri tampaknya bukan bagian yang gagal. Laporan menyarankan kelemahan sebenarnya terletak pada konfigurasi jembatan yang terkait dengan pesan LayerZero. Rute yang digunakan dilaporkan menggunakan pengaturan verifikasi 1-dari-1, yang berarti satu verifikasi yang diterima dapat membuat pesan lintas rantai palsu tampak valid.

Secara sederhana, jika sebuah jembatan bergantung hanya pada satu checkpoint, dan checkpoint tersebut dikompromikan atau disalahgunakan, seluruh sistem dapat terekspos. Itulah sebabnya jembatan terus menjadi salah satu titik terlemah dalam DeFi.

Kerusakan tidak berhenti di KelpDAO. Setelah mendapatkan rsETH, penyerang dilaporkan menggunakan token yang dicuri sebagai jaminan di Aave dan meminjam sejumlah besar WETH terhadapnya. Itu mendorong masalah ke dalam ekosistem DeFi yang lebih luas, karena begitu jaminan buruk masuk ke pasar pinjaman, masalah menjadi lebih besar dari satu protokol saja.

Laporan mengatakan Aave membekukan pasar rsETH dan memperkirakan dampaknya sekitar $196 juta dalam utang buruk, sementara ketakutan akan penularan dengan cepat mempengaruhi sentimen pasar yang lebih luas.

Sekarang insiden ini berubah menjadi pertarungan saling menyalahkan. LayerZero mengatakan eksploitasi tersebut terbatas pada konfigurasi KelpDAO dan menunjuk ke pengaturan validator tunggal sebagai alasan pesan palsu tersebut berhasil. KelpDAO, di sisi lain, berargumen bahwa pengaturan berisiko tersebut mengikuti default yang didokumentasikan LayerZero dan bergantung pada infrastruktur yang dioperasikan LayerZero.

Dengan kata lain, kedua pihak sepakat bahwa jalur jembatan adalah sumber masalah, tetapi mereka tidak sepakat siapa yang harus bertanggung jawab atas keberhasilan desain tersebut di skala sebesar ini.

Ada juga sudut pandang geopolitik yang muncul. Laporan menunjukkan bahwa tanda-tanda awal mungkin mengarah ke kelompok TraderTraitor dari Korea Utara. Penunjukan tersebut masih dini dan harus ditangani dengan hati-hati, tetapi menambah lapisan keseriusan lain pada eksploitasi yang sudah mulai terbentuk sebagai salah satu peristiwa keamanan kripto yang mendefinisikan tahun ini.

Pelajaran utama di sini melampaui KelpDAO. DeFi telah menjadi sangat saling terhubung. Jembatan menghubungkan rantai, token restaking berpindah antar ekosistem, dan pasar pinjaman menerima aset tersebut sebagai jaminan. Komposabilitas ini mendorong pertumbuhan di masa baik, tetapi selama kegagalan, itu juga menyebarkan kerusakan dengan sangat cepat.

Satu verifier yang lemah, satu pesan palsu, dan satu potongan jaminan beracun dapat secara tiba-tiba mempengaruhi pemberi pinjaman, penyedia likuiditas, sistem tata kelola, dan kepercayaan pengguna sekaligus.

Jika insiden ini mengubah sesuatu, itu harus mengubah cara pasar memandang infrastruktur yang “cukup aman”. Sebuah protokol bisa memiliki branding yang kuat, adopsi yang cepat, dan mekanisme inti yang solid, tetapi jika asumsi jembatannya lemah, seluruh sistem tetap rapuh.

Eksploitasi KelpDAO bukan hanya cerita tentang dana yang hilang. Ini adalah cerita tentang kepercayaan tersembunyi, default yang berisiko, dan harga yang harus dibayar DeFi ketika risiko infrastruktur diremehkan.