Bagaimana para ahli teknologi melihat kejadian peretasan Kelp DAO

Penulis: Grvt Deep Research Institute

Dini hari tanggal 19 April, Kelp DAO mengalami peretasan pada jembatan lintas rantai rsETH berbasis LayerZero, dengan 116.500 rsETH keluar dari OFTAdapter utama tanpa catatan pembakaran yang sesuai, setara sekitar 292 juta dolar AS berdasarkan harga saat itu. Dalam waktu satu jam, Kelp segera menjalankan pauseAll, tetapi penyerang kemudian melakukan dua kali serangan tambahan, jika kontrak tidak dihentikan, kerugian total bisa mendekati 391 juta dolar AS.

Kurang dari satu hari setelah kejadian, Aave membekukan pasar rsETH dan wrsETH, rasio penggunaan kolam kunci mencapai 100%, pengguna bahkan sulit menarik ETH, WETH, maupun USDT, USDC. Setidaknya 9 protokol secara berturut-turut mengaktifkan respons darurat. Ini adalah kerugian terbesar dalam satu kejadian DeFi hingga tahun 2026, tiga minggu sebelumnya, Drift Protocol baru saja mengalami serangan senilai 285 juta dolar AS. Dua kejadian ini memicu sebuah masalah yang semakin sulit diabaikan dalam industri: Apakah kerangka pengelolaan keamanan DeFi yang ada saat ini cukup untuk menghadapi ancaman hari ini?

Bagaimana serangan terjadi

Untuk memahami kejadian ini, perlu terlebih dahulu memahami arsitektur lintas rantai Kelp.

Kelp menggunakan standar OFT dari LayerZero. Mainnet memegang hak minting dan redeem rsETH melalui kontrak OFTAdapter, lebih dari 20 L2 terhubung melalui kontrak OFT standar yang memetakan. Lintas rantai tidak menghasilkan versi wrapped, melainkan menggunakan mekanisme penyelesaian debit-kredit 1:1—L2 membakar token yang sesuai di mainnet dan mainnet mengunci token yang sesuai di L2 untuk minting.

Inti dari mekanisme ini adalah lzReceive, yang secara teori hanya menerima pesan lintas rantai yang diverifikasi oleh LayerZero. Penyerang kali ini melewati logika verifikasi tersebut, memalsukan sebuah pesan tanpa catatan pembakaran dari sumber rantai yang sesuai, langsung memicu Adapter utama untuk melepaskan cadangan. Tidak ada debit dari sumber, tetapi terjadi kredit di tujuan. Omnichain supply yang konstan saat ini telah dilanggar.

CTO Cyvers, Meir Dolev, membandingkan serangan ini dengan: “Brankas tidak bermasalah, penjaga jujur, kunci berfungsi normal. Kebohongan adalah bisikan langsung kepada satu-satunya orang yang bisa membuka pintu.” Perumpamaan ini secara akurat menggambarkan inti masalah—bukan desain sistem yang memiliki celah, melainkan adanya node kepercayaan tunggal yang bisa ditembus dalam rantai verifikasi.

Pandangan Ahli: Kegagalan Struktural yang Bisa Diprediksi

Kelp memilih konfigurasi keamanan terlemah yang diizinkan oleh LayerZero: 1/1 DVN, yaitu pesan lintas rantai hanya membutuhkan satu penandatangan verifikasi.

Co-founder perusahaan keamanan kriptografi Sodot, Shalev Keren, dalam wawancara secara langsung menyatakan bahwa ini adalah “satu titik kegagalan, tidak peduli bagaimana pemasaran membungkusnya.” Ia menambahkan, satu node verifikasi yang ditembus cukup untuk mengeluarkan dana dari jembatan, dan kekurangan arsitektur ini tidak bisa diperbaiki melalui audit atau peninjauan keamanan apa pun, satu-satunya solusi adalah “menghapus kepercayaan satu sisi dari arsitektur itu sendiri.”

Lebih menarik lagi, ini bukan celah yang baru bisa ditemukan setelah kejadian. Pada Januari 2025, tim pengembang sudah memperingatkan secara tegas di forum governance Aave agar Kelp memperluas ke konfigurasi verifikasi multi-DVN. Setelah 15 bulan, validator kedua tetap tidak ditambahkan.

LayerZero kemudian menyatakan bahwa mereka telah berkali-kali mendesak Kelp untuk meningkatkan ke konfigurasi multi-verifikasi, dan mengumumkan akan berhenti menyetujui pesan dari aplikasi yang masih menggunakan satu validator. Pernyataan ini sendiri memunculkan pertanyaan: jika risikonya sudah diketahui, mengapa protokol tidak mengambil tindakan paksa lebih awal, melainkan menyerahkan sepenuhnya pilihan kepada lapisan aplikasi?

Perdebatan tentang “tanggung jawab protokol” versus “tanggung jawab aplikasi” ini masih belum menemukan jawaban. Haoze Qiu, Lead Blockchain Grvt, dalam wawancara media menyatakan: “Kelp DAO dalam pengelolaan aset sebesar ini menerima konfigurasi keamanan jembatan yang terlalu rendah, yang menciptakan titik kegagalan tunggal di jalur verifikasi. Di sisi lain, LayerZero juga memiliki tanggung jawab karena serangan ini melibatkan infrastruktur terkait validator mereka, meskipun ini tidak dikategorikan sebagai celah protokol inti. Dalam DeFi yang terhubung, pengguna tidak peduli lapisan mana yang bermasalah, mereka peduli apakah sistem cukup kokoh untuk melindungi aset mereka di saat kritis.”

Bagaimana Penyebarannya

Kegagalan di tingkat teknis hanyalah bagian atas dari kejadian ini. Risiko struktural yang sesungguhnya muncul di bagian kedua serangan.

Penyerang menyimpan rsETH yang dicuri ke platform pinjaman seperti Aave V3, V4, Compound V3, Euler, dan lainnya, dengan jaminan yang hampir tidak bernilai, meminjamkan aset nyata. Hanya di Aave, mereka meminjam sekitar 196 juta dolar AS, dengan total posisi utang lebih dari 236 juta dolar AS. Jaminan ini, saat disimpan, sudah mengosongkan cadangan utama di belakangnya dan tidak bisa diselesaikan melalui mekanisme likuidasi normal.

Aave kemudian membekukan pasar terkait, likuiditas langsung menyusut, memicu penarikan lebih dari 10 miliar dolar AS. Fluid juga membekukan pasar rsETH, Upshift menghentikan dua vault mereka, Lido Earn menghentikan deposit karena exposure terhadap rsETH, dan Ethena karena kehati-hatian menghentikan jembatan LayerZero OFT mereka selama sekitar enam jam.

Rantai penularan ini menyebar ke node-node yang sangat padat dalam beberapa jam, bukan karena kesalahan pengelolaan risiko satu protokol tertentu. Ini adalah hasil langsung dari penggunaan LRT sebagai jaminan yang berlebihan—staking, re-staking, deployment lintas rantai, pinjaman dan jaminan, setiap lapisan menambah satu asumsi kepercayaan yang diandaikan. Ketika cadangan dasar dikosongkan, seluruh rantai menjadi tidak seimbang.

Perbandingan menarik adalah SparkLend yang sejak Januari 2026 sudah menghapus rsETH dari daftar aset jaminan. Berbeda dengan protokol lain, mereka mengambil keputusan risiko yang berbeda. Perbedaan ini sendiri menunjukkan bahwa industri belum mencapai konsensus tentang risiko sistemik dari aset LRT.

Perdebatan Penyebab: Apa yang Kita Ketahui dan Tidak Ketahui

LayerZero dalam analisis pasca kejadian menyatakan bahwa serangan ini dikaitkan dengan kelompok Lazarus dari Korea Utara, khususnya sub-unit TraderTraitor, dan menyebutkan bahwa serangan sebelumnya terhadap Axie Infinity Ronin Bridge dan WazirX juga terkait dengan organisasi ini.

Namun, Cyvers dalam analisis independennya menegaskan bahwa mereka tidak mengikuti kesimpulan tersebut. Dolev menyatakan bahwa beberapa pola serangan yang kompleks, besar, dan terkoordinasi memiliki kemiripan dengan aksi yang diketahui terkait DPRK, tetapi saat ini belum ada bukti pasti bahwa wallet tertentu terkait organisasi tersebut.

Malware yang digunakan penyerang untuk menutup file binary dan log secara otomatis setelah serangan, membuat forensik menjadi sangat sulit.

Dua lembaga keamanan yang mengkaji kejadian yang sama ini menghasilkan kesimpulan berbeda, menunjukkan adanya masalah: industri DeFi kekurangan mekanisme kolaboratif yang sistematis dalam pelacakan serangan dan berbagi intelijen. Siapa yang melakukan serangan memang penting, tetapi yang lebih penting adalah bagaimana serangan direncanakan dan dilaksanakan secara matang, serta bagaimana industri secara kolektif meningkatkan kemampuan identifikasi ancaman semacam ini.

Bagaimana Pengelolaan Keamanan Harus Bertransformasi

Setelah kejadian ini, muncul beberapa diskusi yang perlu dipertimbangkan secara serius.

Dalam tingkat desain protokol, konfigurasi satu validator sebagai opsi default adalah risiko terbuka. Pengumuman LayerZero untuk berhenti menyetujui pesan dari aplikasi yang hanya menggunakan satu validator adalah langkah pengetatan yang terlambat tetapi penting. Masalah mendasar adalah, saat mengizinkan aplikasi melakukan penurunan tingkat keamanan, protokol harus menetapkan ambang batas dan mekanisme paksa apa.

Dalam tingkat pengelolaan risiko jaminan, keputusan whitelist aset LRT oleh protokol pinjaman harus didasarkan pada standar due diligence yang lebih ketat. Konfigurasi keamanan lintas rantai, audit cadangan aset dasar, dan kelayakan likuidasi dalam kondisi ekstrem—semua ini selama ini lebih bergantung pada klaim protokol sendiri, bukan verifikasi independen. Keputusan SparkLend untuk menghapus rsETH tiga bulan sebelum kejadian menunjukkan bahwa penilaian hati-hati itu memungkinkan, hanya saja membutuhkan keberanian untuk menanggung biaya kehilangan sebagian TVL jangka pendek. Bagi platform yang mengintegrasikan dana pengguna ke dalam protokol DeFi, logika yang sama berlaku: pemantauan terus-menerus, penilaian cepat, dan penyesuaian risiko secara proaktif sebelum ketidakpastian berubah menjadi kerugian. Grvt sendiri dalam kejadian ini mengambil langkah tersebut, dengan cepat menyesuaikan eksposur DeFi terkait setelah mendeteksi tekanan pasar, untuk memastikan dana pengguna tidak terpengaruh oleh krisis likuiditas kolam.

Dalam tingkat keamanan operasional, infiltrasi rantai pasokan Drift dan rencana serangan Kelp menunjukkan bahwa aksi serangan berisiko tinggi tidak hanya terjadi di lapisan on-chain. Manajemen kunci, prosedur operasi internal, dan audit keamanan pihak ketiga harus menjadi bagian resmi dari sistem keamanan protokol, bukan sekadar praktik terbaik engineering yang berada di zona abu-abu.

Dalam tingkat kolaborasi industri, perbedaan dalam analisis penyebab kedua serangan ini menunjukkan bahwa berbagi intelijen dan standarisasi data di on-chain masih tertinggal. Perlu mekanisme berbagi informasi yang lebih sistematis antara perusahaan keamanan, tim protokol, dan infrastruktur, bukan hanya analisis pasca kejadian yang dilakukan secara terpisah.

Penutup

Dalam empat bulan pertama tahun 2026, kerugian akibat serangan DeFi mendekati satu miliar dolar AS. Drift dan Kelp secara berurutan menyumbang dua kejadian di atas 280 juta dolar, jarak kurang dari tiga minggu.

Ini bukanlah kejadian langka secara probabilitas, melainkan sinyal industri yang jelas: model ancaman yang diasumsikan oleh kerangka keamanan saat ini sudah tidak mampu lagi menutupi bentuk serangan yang sebenarnya dihadapi saat ini.

Evolusi pengelolaan keamanan DeFi bukanlah masalah yang bisa diselesaikan oleh satu protokol saja. Ia membutuhkan para perancang protokol, lapisan infrastruktur, platform pinjaman, dan peneliti keamanan untuk menyesuaikan kembali asumsi risiko mereka, lalu mencari cara bersama untuk meningkatkan ketahanan ekosistem secara keseluruhan.

Dialog ini baru saja dimulai.