Ikhtisar Pada tanggal 18 April 2026, keuangan terdesentralisasi mengalami saat yang paling mahal. Seorang penyerang mengeksploitasi jembatan lintas rantai bertenaga LayerZero Kelp DAO, menguras 116.50Ikhtisar Pada tanggal 18 April 2026, keuangan terdesentralisasi mengalami saat yang paling mahal. Seorang penyerang mengeksploitasi jembatan lintas rantai bertenaga LayerZero Kelp DAO, menguras 116.50
$293M Hilang dalam 46 Menit: Peretasan Jembatan Kelp DAO Yang Memecahkan Asumsi Terbesar DeFi
Bagikan
Ikhtisar
Pada tanggal 18 April 2026, keuangan terdesentralisasi mengalami saat yang paling mahal. Seorang penyerang mengeksploitasi jembatan lintas rantai bertenaga LayerZero Kelp DAO, menguras 116.500 rsETH - senilai sekitar $293 juta dan mewakili sekitar 18% dari seluruh pasokan sirkulasi token. Token yang dicuri segera dikerahkan sebagai jaminan pada Aave V3 dan V4, memungkinkan penyerang untuk meminjam lebih dari $236 juta dalam ETH yang dibungkus nyata sebelum ada yang bisa menghentikannya. Insiden itu sekarang menjadi eksploitasi DeFi tunggal terbesar tahun 2026, dan telah mengungkap kelemahan mendasar dalam bagaimana harga ekosistem dipercaya di seluruh protokol yang dapat digabungkan - yang meminjamkan pasar, arsitek jembatan, dan pendukung pengambilan kembali akan bergulat selama berbulan-bulan.
Takeaways kunci
Total dicuri : ~ $293 juta (116.500 rsETH), sekitar 18% dari pasokan sirkulasi rsETH
Vektor serangan : Kerentanan konfigurasi DVN di lapisan perpesanan lintas rantai LayerZero (setup DVN 1-of-1 + node validator terganggu)
Protokol yang terpengaruh : Aave V3 / V4, Senyawa V3, Euler, SparkLend, Cairan, Lido earnETH, dan setidaknya 9 lainnya
Aave bad debt : ~ $196 juta; WETH pool sebentar mencapai pemanfaatan 100%
Dampak pasar : token AAVE turun ~ 20% dalam 24 jam; Aave TVL turun ~ $6,6 miliar
Pemulihan dana : Penyerang mencuci dana melalui Tornado Cash - pemulihan tampaknya tidak mungkin
2026 kerugian kumulatif DeFi : Antara $450M- $482M di sekitar 45 protokol
Apa yang Terjadi: Pencurian 46 Menit yang Mengguncang DeFi ke Intinya
Garis Waktu Serangan
Pada 17: 35 UTC pada 18 April 2026, seorang penyerang yang dompetnya telah didanai sebelumnya melalui Tornado Cash sekitar sepuluh jam sebelumnya mengirim pesan palsu yang dibuat dengan hati-hati ke jembatan lintas rantai bertenaga LayerZero Kelp DAO.
Seperti yang dilaporkan Defiant , jembatan memperlakukan instruksi yang dibuat ini sebagai sah dan melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang - tanpa ETH nyata yang pernah dikunci pada rantai sumber. Token telah secara efektif disulap dari udara tipis, sepenuhnya tidak didukung oleh aset aktual.
Alih-alih membuang token yang dicuri di pasar, penyerang bergerak dengan presisi: mereka menyimpan rsETH yang tidak didukung ke Aave V3 sebagai jaminan, meminjam eter nyata yang dibungkus dalam jumlah besar (WETH), lalu mengulangi manuver yang sama persis di Aave V4. Pada saat multisig darurat Kelp berhasil membekukan kontrak inti protokol 46 menit kemudian pada pukul 18: 21 UTC, aset sebenarnya sudah hilang. Dua upaya tindak lanjut pada 18: 26 dan 18: 28 UTC - masing-masing mencoba untuk menguras 40.000 rsETH lain senilai sekitar $100 juta - keduanya dikembalikan ke jeda, tetapi kerusakan dari serangan pertama sudah mengalir di DeFi.
Itu Bukan Bug Kode - Itu Adalah Pilihan Konfigurasi
Analisis mendalam WEEX mengungkapkan sesuatu yang berlawanan dengan intuisi: kode kontrak pintar Kelp DAO tidak mengandung kerentanan. Peneliti keamanan @ 0xQuit menyatakan pada X bahwa akar penyebabnya adalah "kombinasi dari dua masalah: konfigurasi DVN 1-of-1 dan kompromi dari node DVN itu sendiri." Dengan kata lain, sistem perpesanan lintas rantai bergantung pada node validator tunggal - dan node itu diretas atau ditipu.
Pendiri Curve Finance Michael Egorov merangkum pelajaran itu secara blak-blakan: "Hal-hal bisa terjadi ketika Anda mempercayai satu pihak - siapa pun itu."
Protokol LayerZero tidak melarang konfigurasi ini, dan Kelp DAO tidak melanggar aturan protokol. Pilihan konfigurasi yang sesuai, bukan kesalahan pengkodean, memicu kerugian DeFi terbesar tahun 2026.
Penularan: Bagaimana $293M Menjadi Krisis Sistemik
Bagaimana Terjebak
Penyerang mendistribusikan rsETH yang dicuri di Aave V3 (Ethereum dan Arbitrase), Compound V3, dan Euler sebagai jaminan, meminjam total gabungan lebih dari $236 juta di WETH dan ETH. Menurut CoinDesk , Aave sendiri dibiarkan membawa sekitar $196 juta dalam utang buruk yang terkonsentrasi pada pasangan agunan rsETH-ke-WETH yang dominan pada Ethereum.
Mekaniknya brutal dalam kesederhanaannya: begitu Kelp DAO menghentikan kontrak rsETH, semua posisi pinjaman yang didukung oleh rsETH menjadi mustahil untuk dilikuidasi dengan cara yang berarti. Aave dibiarkan memegang segunung jaminan yang tidak berharga sementara aset cair nyata sudah keluar dari pintu.
Pendiri Aave Stani Kulechov mengkonfirmasi bahwa kontrak pintar Aave sendiri tidak dieksploitasi, dan bahwa insiden itu berasal sepenuhnya dari aset rsETH itu sendiri. Namun, seperti yang didokumentasikan Bitcoin.com News , jaminan ini tidak banyak menenangkan pasar: pemanfaatan kolam renang WETH Aave melonjak menjadi 100%, sementara memblokir pemasok dari menarik aset mereka sendiri.
Dinamika Lari Bank dan Wipeout TVL senilai $6,6 Miliar
Per cakupan Bloomberg , kepanikan yang mengikutinya memicu lebih dari $5,4 miliar penarikan dari Aave dalam beberapa jam. TVL jatuh dari lebih dari $26 miliar menjadi sekitar $22 miliar - kerugian sekitar $6,6 miliar dalam satu hari. Token AAVE turun sebanyak 20% dalam 24 jam.
Pernyataan awal Aave menunjukkan cadangan modul keselamatan "Payung" -nya dapat menyerap defisit. Pada Sabtu sore, bahasa itu telah melunak menjadi "mengeksplorasi jalur untuk mengimbangi defisit" - retret retoris yang memperkuat daripada menenangkan kecemasan.
Penularan Lintas Protokol: Setidaknya 9 Platform Berdampak
Kejatuhan dengan cepat menyebar ke luar. Crypto Briefing melaporkan bahwa insiden itu menyebar ke setidaknya sembilan platform tambahan:
SparkLend : Froze rsETH pasar dan melaporkan nol eksposur langsung, mengkreditkan postur risiko konservatif
Fluida : Pasar rsETH yang ditangguhkan secara paralel
Lido Finance : Deposit bertahap ke produk EarnETH (yang memegang eksposur rsETH) sementara mengklarifikasi protokol staking intinya dan stETH sama sekali tidak terpengaruh
Ethena : Untuk sementara menghentikan jembatan LayerZero OFT sendiri dari mainnet Ethereum sebagai tindakan pencegahan, meskipun tidak memiliki eksposur rsETH dan mempertahankan lebih dari 101% kollateralisasi
rsETH pada 20 + rantai : Kiri dalam keadaan dukungan tidak pasti sampai Kelp menerbitkan rekonsiliasi cadangan bersih
CEO Cyvers Deddy Lavid menangkap momen itu: "Tantangannya tidak lagi hanya mencegah eksploitasi di tingkat kontrak, tetapi memahami seberapa cepat mereka dapat mengalir melintasi protokol terintegrasi."
Ke mana Uang Pergi - dan Mengapa Pemulihan Terlihat Suram
Menurut laporan TheStreet , penyerang bergerak cepat untuk mencuci hasil melalui Tornado Cash, mengubah mayoritas aset yang dicuri menjadi ETH didistribusikan di beberapa dompet. Penyelidik on-chain ZachXBT mengidentifikasi enam dompet yang terkait dengan penyerang di Telegram, semua pra-didanai melalui Tornado Cash jam sebelum pelanggaran.
Pendiri Tron Justin Sun secara terbuka menawarkan untuk "melakukan percakapan" dengan penyerang - tetapi dengan dana yang sudah disalurkan melalui mixer privasi dan jejaknya menjadi dingin, tawaran itu lebih banyak dibaca sebagai teater daripada perbaikan realistis. LayerZero saat ini sedang melakukan penyelidikan bersama dengan organisasi tanggap darurat keamanan SEAL Org dan berencana untuk menerbitkan post-mortem bekerja sama dengan Kelp DAO setelah informasi lengkap tersedia.
DeFi Brutal 2026: Daftar Korban Berjalan
Kelp DAO $293 juta kerugian tidak ada dalam isolasi. Analisis Defiant ini menempatkan 2026 kerugian DeFi kumulatif antara $450 dan $482 juta di sekitar 45 protokol.
Garis waktu peretasan DeFi 2026 sejauh ini:
Maret 2026 : Resolv Labs - ~ $80 juta
1 April 2026 : Protokol Drift ~ $285 juta (kemudian dikaitkan dengan aktor yang berafiliasi dengan Korea Utara)
Awal April : CoW Swap, Zerion, Rhea Finance, Silo Finance, dan setidaknya selusin protokol yang lebih kecil
April 18, 2026 : Kelp DAO - ~ $293 juta, eksploitasi DeFi tunggal terbesar 2026
Seperti yang dicatat oleh EGW News , total kerugian DeFi hanya dalam tiga minggu telah melewati $1 miliar, dan 2026 sedang melacak ke tahun terburuk dalam sejarah keamanan DeFi.
Apa Artinya Ini untuk Industri
Asumsi "Jaminan Chip Biru" Telah Hancur
Pelajaran terdalam dari eksploitasi Kelp DAO bukanlah teknis - itu filosofis. rsETH telah mendapatkan tempat di Aave, Compound, dan Euler sebagai aset jaminan tepercaya yang berkorelasi dengan ETH. Asumsi implisitnya adalah bahwa token restaking cair sama amannya dengan ETH yang mendasarinya sendiri, selama protokol penerbitannya memiliki reputasi baik.
Analisis mendalam CoinDesk mengutip Curve 's Egorov: "Aave ditinggalkan dengan rsETH yang tidak dapat benar-benar dijual dan max-pinjaman ETH, sehingga tidak ada yang dapat menarik ETH." Ini adalah fitur tergelap komposer DeFi: ketika token kehilangan dukungan nyata, penularan segera - tidak ada suara pemerintahan, tidak ada tinjauan komite, tidak ada masa tunggu.
Jembatan Lintas Rantai Menghadapi Perhitungan
Seperti yang diperingatkan The Defiant , jalur yang dieksploitasi di jembatan Kelp tidak unik untuk Kelp DAO. Protokol apa pun yang menggunakan konfigurasi LayerZero validator tunggal menghadapi risiko yang sama secara struktural. Industri ini diharapkan merespons dengan persyaratan multi-DVN wajib untuk jembatan, standar orientasi kolateral yang lebih ketat untuk protokol pinjaman, dan audit komprehensif integrasi LayerZero yang ada.
Kepala keamanan Ledger mengatakan kepada CoinDesk bahwa 2026 "kemungkinan besar akan menjadi tahun terburuk dalam peretasan," dan kepercayaan pada DeFi secara aktif "terkikis."
Ingin peringatan waktu nyata tentang acara keamanan DeFi dan peluang pasar crypto?
Apa Artinya Ini bagi Investor
Jika Anda memegang rsETH atau memiliki posisi dalam protokol pinjaman DeFi seperti Aave, inilah yang patut Anda perhatikan:
1. Risiko likuiditas itu nyata, bahkan di platform "aman"
Ketika kawah protokol TVL dan kolam pinjaman mencapai pemanfaatan 100%, bahkan pengguna yang tidak terpapar aset yang diserang dapat menemukan penarikan mereka diblokir sementara.
2. Dukungan aset lintas rantai tidak dijamin secara permanen
rsETH pada lebih dari 20 rantai tetap dalam keadaan dukungan yang tidak pasti sampai Kelp DAO menerbitkan rekonsiliasi cadangan yang diverifikasi. Setiap protokol yang menerima wrsETH sebagai jaminan mempertahankan eksposur sampai akuntansi itu dipublikasikan.
3. Komposit DeFi memotong dua arah
Keterkaitan yang sama yang membuat DeFi kuat juga menjadikannya saluran penularan secepat mungkin. Kerentanan dalam satu protokol dapat menjadi peristiwa sistemik dalam beberapa menit.
4. Mengelola kepemilikan inti pada platform yang diatur dan aman penting
Dalam lingkungan meningkatnya insiden keamanan DeFi, menjaga posisi crypto inti pada platform terpusat yang sesuai dan diaudit keamanan seperti MEXC adalah salah satu cara efektif untuk mengurangi eksposur risiko kontrak pintar.
FAQ
Q1: Bagaimana tepatnya jembatan rsETH Kelp DAO dieksploitasi?
Penyerang mengeksploitasi "konfigurasi DVN 1-of-1" di jembatan lintas-rantai berbasis LayerZero Kelp - yang berarti hanya satu node validator yang bertanggung jawab untuk memverifikasi pesan lintas-rantai. Dengan mengorbankan atau menipu node itu, penyerang mengirim pesan palsu yang mengklaim aset telah dikunci pada rantai lain, menipu jembatan untuk melepaskan 116.500 rsETH ke dompet yang dikendalikan penyerang - tanpa ETH nyata terkunci pada rantai sumber.
Q2: Berapa banyak utang buruk yang dimiliki Aave, dan apakah dana pengguna akan terpengaruh?
Sekitar $196 juta dalam utang macet diperkirakan terkonsentrasi pada pasangan pinjaman rsETH-WETH Aave. Modul keselamatan Payung Aave diperkirakan akan menutupi sebagian dari kerugian, tetapi cakupannya di bawah 30%, dengan sisanya berpotensi jatuh pada staker aWETH. Kontrak Aave sendiri tidak dieksploitasi, tetapi pemanfaatan kolam 100% WETH untuk sementara memblokir beberapa pengguna dari penarikan dana.
Q3: Bisakah $293 juta dipulihkan?
Hampir pasti tidak. Penyerang telah mengalihkan dana melalui Tornado Cash, mengubah sebagian besar aset curian menjadi ETH yang didistribusikan di beberapa dompet. LayerZero dan SEAL Org sedang melakukan penyelidikan bersama, tetapi tidak ada mekanisme pemulihan yang diumumkan.
Q4: Apa yang harus dilakukan pemegang rsETH sekarang?
Pantau pengumuman resmi Kelp DAO dengan cermat. Sampai Kelp menerbitkan rekonsiliasi cadangan yang terverifikasi terhadap pasokan rsETH yang beredar di semua rantai, status dukungan rsETH di jaringan Layer 2 masih belum jelas. Hindari membuat keputusan yang didorong oleh kepanikan tentang informasi yang tidak lengkap.
Q5: Apakah ini berarti LayerZero sendiri memiliki kerentanan sistemik?
Eksploitasi itu tidak disebabkan oleh bug dalam kode protokol inti LayerZero. Akar penyebabnya adalah pilihan Kelp DAO untuk menggunakan konfigurasi DVN 1-of-1 yang sangat terpusat, yang diizinkan LayerZero tetapi menciptakan satu titik kegagalan yang berbahaya. Protokol lain yang menggunakan konfigurasi serupa menghadapi risiko analog dan harus segera mengaudit pengaturannya.
Q6: Peretasan DeFi besar apa lagi yang terjadi pada tahun 2026?
2026 telah menjadi tahun yang luar biasa berat bagi keamanan DeFi: Resolv Labs kehilangan ~ $80 juta pada bulan Maret; Protokol Drift hilang ~ $285 juta pada 1 April (kemudian dikaitkan dengan aktor ancaman Korea Utara);CoW Swap, Zerion, Rhea Finance, Silo Finance dan lebih dari selusin protokol yang lebih kecil dikeringkan pada awal April; eksploitasi Kelp DAO pada 18 April membawa kerugian DeFi kumulatif 2026 menjadi lebih dari $450 juta.
Q7: Apa artinya ini bagi pengambilan kembali Ethereum dan EigenLayer?
Insiden ini akan memicu pengawasan baru terhadap token pengambilan kembali cairan (LRTs) sebagai jaminan pinjaman di seluruh ekosistem EigenLayer. Protokol pinjaman diharapkan dapat secara signifikan memperketat parameter risiko untuk aset yang dijual kembali, yang dapat memampatkan hasil dan mengurangi TVL untuk Eigenpartisipan Layer di seluruh industri.
Penafian
Artikel ini diproduksi oleh Tim Pulsa Crypto MEXC untuk tujuan informasi saja dan bukan merupakan saran investasi atau rekomendasi keuangan. Pasar Cryptocurrency sangat tidak stabil. Protokol DeFi membawa banyak lapisan risiko termasuk kerentanan kontrak pintar, risiko likuiditas, dan risiko keamanan jembatan lintas rantai. Pembaca harus melakukan uji tuntas mereka sendiri dan berkonsultasi dengan penasihat keuangan yang berkualifikasi sebelum membuat keputusan investasi apa pun. Data kejadian, angka kerugian, dan status protokol yang dikutip dalam artikel ini mencerminkan informasi yang tersedia untuk umum pada saat penulisan;angka akhir dapat berubah seiring kemajuan investigasi. MEXC tidak membuat jaminan, mengungkapkan atau tersirat, mengenai keakuratan atau kelengkapan informasi di sini.
Tentang Penulis
The MEXC Crypto Pulse Team adalah unit penelitian dan konten internal MEXC , salah satu platform perdagangan aset digital terkemuka di dunia. Tim ini mengkhususkan diri dalam memecahkan analisis pasar crypto, penelitian protokol DeFi, pelaporan keamanan blockchain, dan cakupan infrastruktur Web3. MEXC melayani lebih dari 10 juta pengguna secara global, menawarkan spot trading, futures, produk ETF, dan banyak lagi di ribuan pasangan aset digital.
Sumber
Eksploitasi Crypto Terbesar 2026: Kelp DAO Menabrak $292 Juta Dengan Eter Terbungkus Terdampar di 20 Rantai - CoinDesk, 18 April 2026
Aave Records $6 Miliar TVL Drop sebagai Kelp Hack Mengekspos Risiko Struktural di DeFi Lender - CoinDesk, 19 April 2026
The $292 Juta Kelp Exploit: Bagaimana Itu Terjadi, dan Apa Artinya untuk DeFi - CoinDesk, 19 April 2026
Kelp DAO Kehilangan $293M di Bridge Exploit, Meninggalkan Aave Dengan Lebih dari $200M dalam Hutang Buruk - The Defiant, 19 April 2026
Mayor DeFi Hack Menjadi yang Terbesar dari 2026 Namun - TheStreet, April 19, 2026
Kelp DAO Dipukul oleh $292M Bridge Hack menguras rsETH Cadangan, Aave Freezes Dipengaruhi Pasar - Crypto Briefing, April 19, 2026
Kelp DAO $293 Juta Hack Pencurian DeFi Terbesar dari 2026 - PYMNTS, April 20, 2026
Crypto Hack senilai $290 Juta Pemicu DeFi Contagion Shock - Bloomberg, 19 April 2026
DeFi Lender Aave Battles Penarikan Krisis Setelah KelpDAO rsETH Exploit - Bitcoin.com News, 19 April 2026
Bug $293 Juta Tidak ada dalam Kode: Bug Konfigurasi DVN yang Menyebabkan Peretasan Terbesar 2026 - WEEX, 20 April 2026
Kelp DAO Hacked untuk $293M: rsETH Pemicu Eksploitasi Aave 20% Kecelakaan & $5.4B Panik Penarikan - EGW Berita, April 19, 2026
Kelp DAO Hack: $292M Dikuras dari rsETH Bridge - SpazioCrypto, April 18, 2026
Jembatan Kelp DAO Dikuras seharga $292M di rsETH - Bankless, 19 April 2026
Ingin akses tercepat ke pembaruan terbaru MEXC? Bergabunglah dengan grup Telegram resmi kami sekarang!
Verifikasi Akun: Memahami KYC | Cara Menyelesaikan KYC
Peluang Pasar
Harga MemeCore(M)
$3.48016
$3.48016$3.48016
USD
Grafik Harga Live MemeCore (M)
Deskripsi: Crypto Pulse didukung oleh AI dan sumber publik untuk menghadirkan tren token terpopuler secara instan kepada Anda. Untuk mendapatkan wawasan ahli dan analisis mendalam, kunjungi MEXC Learn.
Artikel-artikel yang dibagikan di halaman ini bersumber dari platform publik dan disediakan hanya sebagai informasi. Artikel-artikel tersebut belum tentu mewakili pandangan MEXC. Seluruh hak cipta tetap dimiliki oleh penulis aslinya. Jika Anda meyakini bahwa ada konten yang melanggar hak pihak ketiga, silakan hubungi [email protected] agar konten tersebut segera dihapus.
MEXC tidak menjamin keakuratan, kelengkapan, atau keaktualan konten apa pun dan tidak bertanggung jawab atas tindakan apa pun yang dilakukan berdasarkan informasi yang diberikan. Konten tersebut bukan merupakan saran keuangan, hukum, atau profesional lainnya, juga tidak boleh ditafsirkan sebagai rekomendasi atau dukungan oleh MEXC.
Info MemeCore Terkini
Lihat Selengkapnya
Mengapa Pasar Kripto Turun Hari Ini?
Pasar aset kripto diperdagangkan di US$2,49 triliun, naik 1,1% dari penutupan kemarin namun masih turun 1,98% dari level tertinggi hari Minggu. Bitcoin (BTC) ke
2026/04/20
'Bumerang': JD Vance Diejek Habis-habisan oleh Demokrat saat Strongman yang Ia Dukung Akhirnya Dilengserkan
WASHINGTON — Kekalahan mengejutkan Viktor Orbán setelah 16 tahun memimpin Hongaria dengan tangan besi telah memicu sorak-sorai di beberapa sudut ibu kota negara tersebut minggu ini
2026/04/17
Coinbase Menghentikan Perdagangan SEAM: Dampak Kritis pada DeFi Menyusul Penutupan Seamless Protocol
BitcoinWorld Coinbase Menghentikan Trading SEAM: Dampak Kritis pada DeFi Menyusul Penutupan Seamless Protocol Dalam langkah signifikan yang berdampak pada decentralized finance
2026/04/18
POPULER
Mata uang kripto yang sedang tren saat ini dan menarik perhatian pasar yang signifikan
Harga Kripto
Mata uang kripto dengan volume trading tertinggi
Baru Ditambahkan
Mata uang kripto yang baru saja masuk listing dan tersedia untuk trading