Peristiwa keamanan DeFi terbesar tahun 2026: celah jembatan lintas rantai KelpDAO, kerugian buruk Aave hampir 200 juta dolar

Pada April 2026, industri kripto mengalami ujian risiko sistemik DeFi yang berat. Jembatan lintas rantai KelpDAO diserang karena celah konfigurasi LayerZero, menyebabkan penerbitan rsETH yang tidak normal, yang kemudian menyebar ke protokol Aave dan membentuk kerugian buruk sekitar 200 juta dolar AS, serta menguapnya total nilai terkunci (TVL) di seluruh jaringan DeFi lebih dari 13 miliar dolar AS dalam 72 jam. Peristiwa ini tidak hanya mengungkapkan risiko eksposur antara jembatan lintas rantai dan protokol pinjaman, tetapi juga memicu diskusi mendalam tentang batas keamanan komposabilitas.

Bagaimana serangan KelpDAO memicu kerugian buruk sekitar 200 juta dolar AS di Aave?

Jalur penularan serangan terbagi menjadi tiga tahap. Tahap pertama, penyerang memanfaatkan celah konfigurasi LayerZero di jembatan lintas rantai KelpDAO, melewati mekanisme verifikasi izin, dan secara ilegal menerbitkan sejumlah besar rsETH di chain sumber. Tahap kedua, penyerang mentransfer rsETH yang diterbitkan secara lintas rantai ke mainnet Ethereum dan dengan cepat menukarnya di beberapa DEX menjadi aset lain, menyebabkan harga rsETH sementara terlepas dari patokan. Tahap ketiga, karena Aave mengintegrasikan rsETH sebagai aset jaminan, penyerang menggunakan rsETH yang diterbitkan secara berlebih untuk meminjam ETH dan USDC, lalu langsung menarik likuiditasnya, meninggalkan kerugian buruk yang tidak dapat dilikuidasi. Hingga 20 April 2026, Aave mengungkapkan kerugian buruk sekitar 177 juta hingga 200 juta dolar AS, tergantung proses likuidasi dan penagihan selanjutnya.

Bagaimana celah jembatan lintas rantai rsETH dan kesalahan konfigurasi LayerZero mengungkap?

Akar teknis serangan ini terletak pada cacat pengelolaan izin jembatan lintas rantai. Solusi jembatan lintas rantai KelpDAO berbasis protokol pesan umum LayerZero, tetapi dalam konfigurasi tidak melakukan verifikasi ketat terhadap alamat kontrak pengirim pesan. Penyerang memalsukan identitas pengirim pesan yang sah dan mengirimkan instruksi “penerbitan” ke chain target. Relay dan kontrak endpoint LayerZero menjalankan pesan tersebut secara normal karena mekanisme verifikasi hanya memeriksa tanda tangan pesan, tanpa melakukan pemeriksaan legalitas bisnis isi pesan. Celah ini termasuk dalam kategori “konfigurasi dan logika bisnis yang tidak cocok”, yang telah muncul berulang kali dalam berbagai insiden serangan jembatan lintas rantai dari 2025 hingga 2026. Sebagai token staking ulang likuiditas KelpDAO, hak pencetakan rsETH seharusnya terbatas pada kontrak tertentu, tetapi antarmuka penerbitan di jembatan lintas rantai secara keliru diekspos ke pihak eksternal.

Mengapa Aave tidak mampu menghindari kerugian buruk sekitar 177 juta dolar AS?

Sebagai protokol pinjaman terdesentralisasi, model pengelola risiko Aave bergantung pada harga oracle on-chain dan mekanisme likuidasi. Dalam kejadian ini, durasi harga rsETH terlepas dari patokan sangat singkat, dan penyerang telah menyelesaikan operasi pinjaman sebelum harga turun. Ketika harga rsETH mulai menurun, posisi penyerang sudah dalam kondisi “water under”, tetapi robot likuidasi Aave gagal memicu secara tepat waktu, karena ada dua alasan. Pertama, rasio jaminan rsETH di Aave cukup tinggi, memberi buffer terhadap fluktuasi harga, tetapi ini justru dimanfaatkan penyerang. Kedua, penyerang menggunakan beberapa alamat secara bersamaan untuk melakukan pinjaman tersebar, sehingga kesehatan posisi tunggal tampak normal, tetapi risiko keseluruhan sangat besar. Selain itu, oracle Aave dalam waktu singkat gagal menangkap harga transaksi riil rsETH di DEX, karena mekanisme harga rata-rata berbobot waktu (TWAP) yang digunakan memiliki keterlambatan, sehingga proses likuidasi terlambat dibanding kecepatan penarikan aset.

Bagaimana komposabilitas DeFi memperbesar risiko pada satu protokol?

Komposabilitas adalah keunggulan utama DeFi, tetapi juga menjadi faktor percepatan penularan risiko. Dalam insiden serangan KelpDAO, risiko menyebar melalui rantai “jembatan lintas rantai — token staking ulang — protokol pinjaman”. Celah di jembatan lintas rantai menyebabkan penerbitan rsETH berlebih, dan rsETH sebagai jaminan di Aave menciptakan kemampuan pinjaman, akhirnya mengubah aset palsu menjadi likuiditas nyata. Mekanisme penularan ini bersifat non-linear: biaya serangan senilai 5 juta dolar AS akhirnya menyebabkan kerugian buruk mendekati 200 juta dolar AS dan penarikan TVL lebih dari 13 miliar dolar AS. Pelaku pasar dengan cepat menarik keluar likuiditas dari Aave dan protokol pinjaman lain setelah kejadian, memperburuk pelarian dana. Hingga 20 April 2026, TVL seluruh jaringan DeFi turun dari sekitar 115 miliar dolar AS sebelum kejadian menjadi di bawah 102 miliar dolar AS, menguap lebih dari 13 miliar dolar AS.

Siapa yang keluar dari TVL 13 miliar dolar AS yang menguap?

Penurunan cepat TVL mencerminkan tiga tingkat perilaku pasar. Tingkat pertama adalah protokol Aave yang langsung terdampak, di mana pengguna menarik sekitar 4,5 miliar dolar AS dari likuiditas untuk menghindari aset terkunci atau likuidasi. Tingkat kedua adalah aggregator dan protokol leverage yang berinteraksi dengan Aave, yang karena ketidakpastian pasar pinjaman dasar, terpaksa mengurangi posisi atau menghentikan layanan, sehingga sekitar 3,5 miliar dolar AS dana secara pasif keluar. Tingkat ketiga adalah penyebaran kepanikan pasar, di mana pengguna menarik aset dari protokol pinjaman dan staking lain yang tidak langsung terkait, menghasilkan keluar sebesar sekitar 5 miliar dolar AS. Perlu dicatat, kecepatan pelarian dana ini termasuk yang tercepat dalam sejarah DeFi, dengan penurunan TVL 11,3% dalam 72 jam. Dari segi aset, keluar paling signifikan terjadi pada ETH dan stablecoin, masing-masing berkurang sekitar 4,8 miliar dan 5,2 miliar dolar AS.

Apakah asuransi DeFi mampu menutup celah serangan semacam ini?

Perlindungan dari asuransi DeFi saat ini sangat terbatas terhadap insiden ini. Asuransi utama seperti Umbrella umumnya menanggung kerugian langsung akibat celah kontrak pintar, tetapi untuk kerugian tidak langsung akibat penularan risiko antar protokol, batas klaim tidak jelas. Dalam serangan KelpDAO, kerugian Aave bukan berasal dari celah kontrak internal, melainkan dari input abnormal dari protokol eksternal. Apakah asuransi harus membayar klaim untuk risiko “input eksternal” ini, saat ini belum ada standar industri yang seragam. Selain itu, kegagalan harga dan likuidasi akibat serangan sering dikategorikan sebagai “risiko pasar” atau “risiko operasional” yang dikecualikan. Hingga 20 April 2026, beberapa protokol asuransi sedang menilai cakupan klaim dari insiden ini, tetapi sebagian besar kerugian diperkirakan tidak dapat ditanggung oleh asuransi. Celah ini menunjukkan keterbatasan asuransi DeFi dalam menghadapi risiko sistemik.

Ringkasan

Insiden serangan jembatan lintas rantai KelpDAO adalah salah satu kasus keamanan DeFi paling serius hingga 2026. Dengan biaya serangan sekitar 5 juta dolar AS, insiden ini memicu kerugian buruk di Aave mendekati 200 juta dolar AS dan menguapkan TVL lebih dari 13 miliar dolar AS. Pelajaran utama meliputi: konfigurasi izin jembatan lintas rantai harus terikat secara mendalam dengan logika bisnis, protokol pinjaman perlu memperkuat pengaturan parameter risiko untuk jaminan non-utama, dan sistem asuransi DeFi harus diperluas untuk mencakup skenario penularan risiko sistemik. Komposabilitas meningkatkan efisiensi dana, tetapi juga menuntut protokol membangun mekanisme isolasi risiko yang lebih jelas. Bagi industri, kejadian ini bukan akhir, melainkan titik penting dalam mendorong peningkatan standar pengelolaan risiko DeFi.

FAQ

Pertanyaan: Siapa yang menanggung kerugian buruk 200 juta dolar AS di Aave akibat serangan KelpDAO?

Jawaban: Kerugian buruk pertama kali ditanggung oleh cadangan protokol Aave. Jika cadangan tidak cukup, protokol akan menutupinya secara bertahap melalui pendapatan likuidasi berikutnya, biaya, dan lain-lain. Sebagian kerugian mungkin secara tidak langsung ditanggung oleh penyedia likuiditas Aave, tergantung keputusan tata kelola komunitas.

Pertanyaan: Apakah serangan ini akan mempengaruhi jembatan lintas rantai lain yang menggunakan LayerZero?

Jawaban: Protokol LayerZero sendiri tidak memiliki celah, masalahnya terletak pada konfigurasi verifikasi pesan yang keliru di KelpDAO. Namun, jika jembatan lintas rantai lain mengadopsi mekanisme verifikasi izin yang tidak ketat, mereka juga berisiko diserang. Disarankan agar proyek terkait segera melakukan audit terhadap logika verifikasi pesan lintas rantai.

Pertanyaan: Bagaimana investor dapat menghindari risiko komposabilitas DeFi semacam ini?

Jawaban: Investor harus memperhatikan ketergantungan antar protokol, menghindari menaruh banyak aset dalam strategi DeFi yang sangat bersarang. Prioritaskan protokol yang telah melalui audit berulang, memiliki mekanisme isolasi risiko, dan rencana likuidasi yang matang. Diversifikasi aset di berbagai protokol dasar juga merupakan strategi pengelolaan risiko yang efektif.