#KelpDAOBridgeHacked

PERETASAN JEMBATAN KELPDAO: BENCANA LINTAS RANTAI $292 JUTA YANG MENGUNGKAP KELEMAHAN DEFI

Bayangkan bangun pada Sabtu sore dan mendapati bahwa hampir $300 juta telah menghilang begitu saja—bukan melalui kerentanan kontrak pintar yang rumit, tetapi melalui pesan sederhana yang berbohong. Itulah yang terjadi pada 18 April 2026, ketika jembatan lintas rantai KelpDAO menjadi korban peretasan DeFi terbesar tahun itu, dengan penyerang menguras 116.500 rsETH senilai sekitar $292 juta dalam waktu hanya 46 menit, mengguncang seluruh ekosistem keuangan terdesentralisasi dan meninggalkan ether terbungkus terdampar di 20 blockchain berbeda. Serangan itu tidak hanya canggih—tetapi juga sangat tepat sasaran. Pelaku, yang kemudian dikaitkan dengan Grup Lazarus yang terkenal dari Korea Utara, menghabiskan 8 hingga 10 jam menyiapkan tujuh dompet baru yang didanai melalui Tornado Cash, menyiapkan panggung untuk apa yang akan menjadi pelajaran utama dalam eksploitasi lintas rantai. Pada sekitar pukul 17:35 UTC, mereka menyerang jembatan yang didukung LayerZero milik KelpDAO, yang bergantung pada konfigurasi jaringan verifikasi terdesentralisasi1-dari-1 (Jaringan Verifikasi Terdesentralisasi) yang berbahaya dan terpusat—sebuah titik kegagalan tunggal yang telah mereka identifikasi sebagai titik masuk mereka. Dengan mengompromikan dua node RPC LayerZero dan melakukan DDoS pada node ketiga untuk memaksa failover ke infrastruktur beracun mereka, para peretas menyuntikkan pesan lintas rantai palsu yang menipu jembatan agar percaya bahwa pembakaran yang sah telah terjadi di rantai sumber, memicu kontrak untuk melepaskan rsETH yang tidak didukung dari cadangan Ethereum langsung ke dompet yang dikendalikan penyerang. Kejeniusan eksploitasi ini bukan terletak pada merusak kode, tetapi dalam memanipulasi asumsi kepercayaan yang bergantung pada seluruh arsitektur lintas rantai—dalam enam menit dari pengurasan awal, rsETH yang dicuri sudah dicuci bersih di seluruh lanskap DeFi, disetor sebagai jaminan di Aave V3 dan V4, Compound, Euler, dan Morpho untuk meminjam sekitar $236 juta ETH dan WETH sebelum siapa pun bisa bereaksi. Penyebarannya langsung dan brutal: Aave membekukan pasar rsETH-nya dalam beberapa jam, mengungkapkan estimasi utang buruk antara $123 juta dan $230 juta, sementara token AAVE anjlok 23% dan pasar inti mencapai 100% utilisasi saat pengguna panik bergegas menarik dana. Tetapi cerita sebenarnya di sini bukan hanya tentang pencurian—melainkan permainan menyalahkan yang mengikuti, dengan LayerZero bersikeras bahwa protokol mereka tidak memiliki bug dan menunjuk jari ke konfigurasi DVN satu-dari-1 KelpDAO sebagai penyebabnya, sementara KelpDAO membalas bahwa pengaturan 1-dari-1 adalah pengaturan default terdokumentasi LayerZero sejak Januari 2024 dan bahwa infrastruktur RPC mereka sendiri telah dikompromikan, mencatat bahwa sekitar 40% protokol menggunakan konfigurasi serupa tanpa peringatan sebelumnya tentang kerentanan. Data menunjukkan kisah yang menakutkan: Dune analytics mengungkapkan bahwa 47% dari sekitar 2.665 OApps LayerZero saat ini menggunakan konfigurasi 1-dari-1, yang berarti ribuan protokol mungkin sedang duduk di atas bom waktu yang serupa. Dampaknya meluas jauh melampaui KelpDAO, dengan total nilai terkunci (TVL) DeFi yang merembes lebih dari $600 juta dalam dua minggu dan $8 hingga $10 miliar melarikan diri dari Ethereum dan L2 dalam 48 jam setelah insiden, saat komunitas kripto menghadapi kenyataan yang tidak nyaman—jembatan lintas rantai tetap menjadi titik lemah DeFi, bukan karena bug kontrak pintar, tetapi karena risiko infrastruktur seperti keracunan RPC yang sebagian besar pengguna tidak pernah pertimbangkan. Serangan ini mewakili perubahan paradigma dalam cara kita harus memikirkan keamanan jembatan: ini bukan eksploitasi kode tetapi kegagalan keamanan operasional, pengingat bahwa dalam dunia interoperabilitas lintas rantai, lapisan verifikasi pesan hanya sekuat komponen paling terpusatnya. Metodologi Grup Lazarus di sini mencerminkan perampokan kripto mereka sebelumnya, menggabungkan intrusi sabar, manipulasi kepercayaan, dan penekanan deteksi ke dalam paket yang menghancurkan yang melewati setiap asumsi keamanan tradisional. Bagi pengguna DeFi sehari-hari, pelajaran yang tegas dan langsung: saat Anda menjembatani aset di berbagai rantai, Anda tidak hanya mempercayai kontrak pintar—Anda mempercayai seluruh infrastruktur verifikasi, node RPC, konfigurasi DVN, dan keamanan operasional dari setiap komponen dalam rantai tersebut. Tanggapan KelpDAO termasuk menjeda kontrak, memasukkan daftar hitam pelaku eksploitasi, dan memblokir tambahan $95 juta dalam pengurasan lanjutan, tetapi kerusakan terhadap kepercayaan sudah terjadi. Saat industri bergulat dengan panggilan bangun ini, dorongan menuju konfigurasi multi-DVN dan jaringan verifikasi yang beragam semakin cepat, dengan LayerZero mengumumkan mereka akan berhenti mendukung pengaturan 1-dari-1 sepenuhnya. Namun pertanyaan yang lebih besar tetap belum terjawab: jika hampir setengah dari semua aplikasi LayerZero saat ini menggunakan konfigurasi yang rentan, berapa banyak KelpDAO lain yang menunggu untuk dieksploitasi? Pertanyaan $292 juta ini bukan hanya tentang memulihkan dana yang dicuri—tetapi tentang apakah DeFi dapat berkembang melewati masa remajanya infrastruktur sebelum Grup Lazarus berikutnya datang mengetuk pintu.