Eksploitasi senilai $292 juta terhadap Kelp DAO telah memicu gelombang reaksi di seluruh industri kripto, dengan para pengembang dan trader memperingatkan bahwa insiden tersebut mengekspos kelemahan yang lebih dalam dalam cara decentralized finance (DeFi) dibangun.
Data yang dibagikan oleh pelaku pasar menunjukkan dampak langsung menyebar jauh melampaui protokol yang diretas.
"Peretasan rsETH menyebabkan penarikan di semua protokol peminjaman, bahkan di solana dan protokol yang tidak terdampak," kata 0xngmi dalam sebuah postingan pada hari Minggu, menunjuk pada arus keluar yang curam termasuk "Aave: -6,200m (-23%) arus masuk bersih" dan penurunan yang lebih kecil namun signifikan di Morpho, Sky dan JupLend. rsETH adalah ether yang di-restake dari protokol liquid restaking Kelp DAO dan merupakan Liquid Restaking Token (LRT) yang memungkinkan pengguna mendapatkan reward staking dan restaking ether sambil menjaga aset mereka tetap likuid, bahkan ketika terkunci dalam staking.
Tekanan tersebut dengan cepat berubah menjadi sesuatu yang lebih parah. Sebuah postingan yang banyak beredar oleh Josu San Martin menggambarkan tekanan likuiditas yang berjenjang di dalam pasar peminjaman: "Deposan ETH tidak dapat menarik ETH mereka sehingga mereka meminjam stablecoin untuk 'menarik' dana… Ini adalah serangan penuh terhadap AAVE."
Meskipun Stani Kulechov, pendiri Aave, mengatakan eksploitasi tersebut bersifat eksternal dan kontrak protokol tidak dikompromikan, para deposan panik. Total value locked (atau deposit) turun dari $26,4 miliar pada 18 April menjadi hampir $20 miliar pada pagi hari Minggu waktu AS, menurut DefiLlama. Token AAVE juga turun lebih dari 18% saat para deposan berebut menarik uang mereka selama akhir pekan.
Harga token Aave (CoinDesk)Sebuah 'studi kasus'
Eksploitasi itu sendiri telah menjadi titik fokus bagi para insinyur dan pengembang.
Beberapa pengembang menolak asumsi awal bahwa masalah berasal dari infrastruktur inti. "Eksploitasi KelpDAO (~$290M) BUKAN bug protokol LayerZero. Ini adalah masalah konfigurasi dan studi kasus yang perlu dilihat oleh setiap proyek dengan token lintas-rantai hari ini," demikian analisis teknis oleh cryptogoblin.
Thread tersebut merinci bagaimana satu titik verifikasi memungkinkan serangan. "Satu tanda tangan dan 116.500 rsETH muncul begitu saja dari udara di Ethereum," kata postingan tersebut, menggambarkan sistem di mana "kontrak [pintar] tidak rusak. Lapisan verifikasi-lah yang rusak," klaim postingan tersebut.
Yang lain berpendapat masalahnya lebih dalam dari sekedar pilihan pengaturan tunggal.
Satu kritik, yang menggunakan nama Fishy Catfish di X, membingkainya sebagai cacat desain, menuduh bahwa: "tidak ada batasan keamanan minimum... Konfigurasi bisa berupa DVN 1/1 dan DVN yang Anda pilih bisa berupa node tunggal yang dijalankan oleh satu entitas." DVN (Decentralized Verifier Network) dalam DeFi, khususnya dalam LayerZero V2, adalah entitas independen yang bertanggung jawab untuk memvalidasi dan membuktikan keaslian pesan yang dikirim melintasi berbagai jaringan blockchain. Pada dasarnya, DVN memverifikasi hash pesan antara rantai sumber dan rantai tujuan.
Untuk memperjelas poin tersebut, penulis membuat perbandingan dunia nyata: "bayangkan jika produsen roller coaster mengizinkan taman hiburan untuk secara individual memutuskan apa spesifikasi keamanan minimum." Pada dasarnya, penulis hanya mengatakan bahwa fleksibilitas tanpa pagar pengaman dapat menciptakan risiko tersembunyi.
Postingan tersebut bahkan mengklaim bahwa pengaturan itulah masalahnya dalam desain. "Saya pribadi berpikir ini adalah desain yang cacat. Keamanan modular adalah ruang desain yang bermanfaat, namun, rentang keamanan harus memiliki batasan keamanan dasar yang cukup kuat, dan kemudian mengizinkan lapisan keamanan *tambahan* di atas itu untuk kasus penggunaan bernilai tinggi."
'DeFi sudah mati'
Bukan hanya jumlah dan kompleksitas eksploitasi yang menarik kritik keras dan panik. Skala eksploitasi telah meningkatkan kekhawatiran.
Sekitar 116.500 rsETH, sekitar 18% dari pasokan, terdampak. Penyerang menipu lapisan pesan lintas-rantai LayerZero agar percaya bahwa instruksi yang valid telah tiba dari jaringan lain, yang memicu bridge Kelp untuk melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang.
Protokol merespons dengan membekukan pasar dan menjeda fitur. Aave menghentikan aktivitas rsETH. Lido menjeda deposit yang terkait dengan aset tersebut. Proyek lain mengambil langkah serupa untuk membatasi eksposur saat situasi berkembang.
Di luar perdebatan teknis, sentimen di seluruh kripto berubah tajam menjadi negatif. Satu postingan mungkin menangkap perubahan suasana hati dengan istilah blak-blakan: "DeFi sudah mati... 'gunakan saja aave' sudah mati," sambil menambahkan bahwa "Era kripto sudah berakhir" dan bertanya, "Jika Anda membaca ini – mengapa Anda masih di kripto?"
Meskipun responsnya mungkin terdengar seperti reaksi berlebihan, jenis reaksi 'spontan' seperti itu tidak biasa setelah eksploitasi besar, tetapi luasnya peristiwa ini menonjol.
Serangan tersebut mempengaruhi infrastruktur lintas-rantai, model restaking, dan pasar peminjaman secara bersamaan. Ini juga mengikuti serangkaian insiden baru-baru ini. Peretasan ini terjadi dalam periode yang sangat tidak bersahabat untuk DeFi, terutama bulan ini. Protokol perpetual berbasis Solana, Drift, dikuras sekitar $285 juta pada 1 April dalam serangan yang kemudian dikaitkan dengan aktor yang berafiliasi dengan Korea Utara, dan setidaknya selusin protokol yang lebih kecil telah dieksploitasi dalam beberapa minggu sejak itu, termasuk CoW Swap, Zerion, Rhea Finance dan Silo Finance.
'Periksa konfigurasi Anda'
Meskipun semua penjelasan, masih ada lebih banyak pertanyaan daripada jawaban.
Bahkan LayerZero masih mencoba mencari tahu detail lengkap dari eksploitasi tersebut. "Kami sepenuhnya menyadari eksploitasi rsETH dan telah aktif melakukan remediasi dengan tim @KelpDAO sejak insiden dan terus memantau. Semua aplikasi lain tetap aman," katanya dalam postingan di X. "Kami masih mengidentifikasi akar penyebab bersama @_SEAL_Org dan lainnya. Kami akan menerbitkan post-mortem lengkap dengan @KelpDAO segera setelah kami memiliki semua informasi."
KelpDAO mengulangi sentimen ini. "Awal hari ini kami mengidentifikasi aktivitas lintas-rantai yang mencurigakan yang melibatkan rsETH. Kami telah menjeda kontrak rsETH di mainnet dan beberapa L2 saat kami menyelidiki. Kami bekerja dengan @LayerZero_Core, @unichain, auditor kami dan pakar keamanan terkemuka untuk RCA. Kami akan terus memberi tahu Anda saat kami mempelajari lebih lanjut tentang situasi ini."
Namun, beberapa pengembang melihat pelajaran yang lebih jelas dalam kekacauan ini.
Eksploitasi tersebut tidak mengandalkan pemecahan enkripsi atau melewati kontrak pintar. Sebaliknya, ini mengekspos betapa rapuhnya sistem dapat menjadi ketika mereka bergantung pada asumsi berlapis.
Secara sederhana, alat-alat berfungsi sebagaimana dirancang. Cara mereka dikonfigurasi tidak.
Perbedaan itu mungkin membentuk apa yang terjadi selanjutnya. Para pembangun sekarang mendesak proyek untuk meninjau pengaturan mereka, terutama yang mengandalkan pesan lintas-rantai.
Seperti yang dikatakan cryptogoblin dengan blak-blakan: "Periksa konfigurasi Anda. Tetap aman di luar sana."
Baca lebih lanjut: Hasil DeFi jatuh begitu keras sehingga mereka tidak dapat bersaing dengan rekening tabungan tradisional
Sumber: https://www.coindesk.com/news-analysis/2026/04/19/defi-is-dead-crypto-community-scrambles-after-usd292-million-hack-exposes-cross-chain-risks
