LCP_hide_placeholder
fomox
MarketPerpsSpotSwapMeme Referral
ai-iconLainnya
Abstract Boost
Cari Token/Dompet
/
BLOG
Insiden Keamanan DeFi 2026: Risiko Linta...

Insiden Keamanan DeFi 2026: Risiko Lintas Protokol Dipicu oleh Kerentanan Kelp DAO dan Analisis Eksposur Kredit Aave

2026-04-20 15:58

Pada 18 April 2026, pukul 17.35 UTC, sebuah transaksi lintas rantai yang tampaknya biasa saja memicu salah satu insiden keamanan paling berdampak dalam sejarah DeFi. Akibat kerentanan konfigurasi pada jembatan lintas rantai rsETH milik Kelp DAO, seorang penyerang berhasil mencetak 116.500 token rsETH secara tiba-tiba—senilai sekitar $293 juta, atau sekitar 18% dari total suplai token yang beredar. Peristiwa ini tidak hanya mencatat rekor baru untuk kerugian DeFi terbesar dalam satu insiden sepanjang 2026, tetapi juga memicu krisis sistemik melalui sifat komposabilitas protokol DeFi: TVL Aave menyusut sebesar $8,45 miliar dalam dua hari, sementara total TVL DeFi di seluruh rantai turun sebesar $13,21 miliar.

Namun, insiden Kelp DAO bukanlah kasus yang terisolasi. Selama empat bulan pertama tahun 2026, sektor DeFi mengalami berbagai pelanggaran keamanan, dengan kerugian kumulatif mencapai ratusan juta dolar. Vektor serangan semakin kompleks, mulai dari pengambilalihan tata kelola, eksploitasi jembatan, manipulasi oracle, hingga reentrancy pada smart contract. Keterkaitan mendalam antar protokol kini memperbesar dampak destruktif dari setiap titik kegagalan.

Linimasa Kerentanan Jembatan Kelp DAO

Pada 18 April 2026, pukul 17.35 UTC, penyerang mengeksploitasi cacat konfigurasi pada jembatan lintas rantai LayerZero milik Kelp DAO. Dengan memalsukan pesan lintas rantai, ia mencetak 116.500 rsETH di Ethereum mainnet—token tanpa jaminan nyata. Empat puluh enam menit setelah serangan dimulai, Kelp DAO menggunakan multisig darurat untuk menghentikan fungsi kontrak rsETH di mainnet dan beberapa rantai L2. Selama periode ini, penyerang melakukan dua upaya tambahan untuk mencetak masing-masing 40.000 rsETH, namun keduanya gagal akibat kontrak yang dibekukan.

Alih-alih langsung menjual rsETH hasil curian di pasar sekunder, penyerang justru menyetorkan sebagian besar token tersebut ke Aave V3 dan V4 sebagai jaminan untuk meminjam WETH dan ETH asli. Data on-chain menunjukkan penyerang memperoleh sekitar 106.500 ETH—senilai sekitar $250 juta—melalui proses kolateralisasi dan penjualan selanjutnya.

Manuver ini membuat Aave menghadapi risiko utang macet yang diperkirakan antara $177 juta hingga $236 juta. Sebagai respons, Aave segera membekukan pasar rsETH di Ethereum mainnet dan L2 seperti Arbitrum, Optimism, dan Base, serta menetapkan rasio Loan-to-Value untuk rsETH menjadi nol. Protokol lain, termasuk Compound dan Euler, segera mengikuti dengan membekukan atau membatasi operasi aset terkait.

Dari Kerentanan Menuju Kontagion: Rangkaian Reaksi Berantai

Waktu (UTC) Peristiwa Jenis
18 Apr, 17.35 Penyerang memanggil fungsi lzReceive LayerZero EndpointV2 dengan data lintas rantai palsu, memicu pencetakan 116.500 rsETH Serangan
18 Apr, 17.35–18.21 Penyerang menyetorkan rsETH ke Aave V3/V4 sebagai jaminan untuk meminjam WETH dalam jumlah besar Pergerakan Dana
18 Apr, 18.21 Multisig darurat Kelp DAO mendeteksi aktivitas mencurigakan, membekukan kontrak rsETH di mainnet dan rantai lain Respons Darurat
18 Apr, 18.26, 18.28 Penyerang mencoba mencetak 40.000 rsETH dua kali; kedua upaya gagal akibat pembekuan kontrak Serangan Digagalkan
18 Apr, 20.10 Kelp DAO mengeluarkan pernyataan publik pertama di X, mengonfirmasi aktivitas lintas rantai mencurigakan Pernyataan Resmi
18 Apr malam–19 Aave membekukan pasar kolateral rsETH; Compound dan Euler ikut membekukan pasar terkait Respons Industri
19–20 Apr TVL Aave turun dari $26,396 miliar menjadi $17,947 miliar, kerugian $8,45 miliar; total TVL DeFi turun dari $99,497 miliar menjadi $86,286 miliar Pelarian Modal

Respons Kelp DAO dinilai beragam oleh industri. Beberapa anggota komunitas menilai waktu reaksi 46 menit cukup cepat untuk insiden jembatan lintas rantai. Namun, ada juga yang menyoroti jeda hampir tiga jam antara serangan pada pukul 17.35 dan pernyataan publik pertama pada pukul 20.10, yang menciptakan kekosongan informasi dan memicu kepanikan pasar. Selain itu, penggunaan konfigurasi 1/1 DVN oleh Kelp DAO memicu perdebatan mengenai kecukupan proses audit keamanannya.

Analisis Data dan Struktur: Mengukur Reaksi Berantai

Gambaran Keamanan DeFi di 2026

Frekuensi Serangan dan Kerugian

Hanya dalam 18 hari pertama April 2026, protokol kripto mengalami kerugian kumulatif lebih dari $606 juta akibat peretasan—bulan terburuk sejak Februari 2025. Drift Protocol kehilangan sekitar $285 juta akibat serangan tata kelola pada 1 April, sementara insiden Kelp DAO menyumbang $293 juta, sehingga keduanya menjadi mayoritas kerugian bulan tersebut. Gelombang serangan bernilai tinggi ini menandai uji stres baru bagi keamanan DeFi.

Evolusi Pola Serangan

Peneliti keamanan mengidentifikasi dua tren baru utama pada vektor serangan 2026: Pertama, semakin banyak fokus pada eksploitasi cacat konfigurasi di jembatan lintas rantai dan protokol aset derivatif, bukan hanya bug smart contract. Kedua, penyerang semakin mahir memanfaatkan komposabilitas DeFi untuk memperbesar dampak kerentanan tunggal, mengubah eksploitasi terisolasi menjadi guncangan sistemik. Kasus Kelp DAO, di mana penyerang menggunakan aset hasil cetak sebagai kolateral untuk mengekstrak nilai nyata alih-alih langsung menjual, menjadi contoh pergeseran ini.

Mengukur Dampak pada Aave

Perubahan TVL dan Harga Token

Berdasarkan data pasar Gate dan pemantauan on-chain, per 20 April 2026, Aave mengalami dampak sebagai berikut:

  • Perubahan TVL: TVL Aave anjlok dari sekitar $26,396 miliar sebelum serangan pada 18 April menjadi $17,947 miliar dua hari kemudian—penurunan $8,45 miliar.
  • Arus Keluar Bersih: Arus keluar bersih dari Aave mencapai sekitar $6,2 miliar, turun 23%.
  • Utang Macet: Aave kini menghadapi utang macet sebesar $177 juta hingga $236 juta, terutama terkonsentrasi pada pasangan pinjaman rsETH/WETH di Ethereum mainnet.
  • Tingkat Utilisasi: Pasar pinjaman WETH mencapai 100% utilisasi, dengan pool USDT dan USDC juga terpakai penuh—lebih dari $5,1 miliar stablecoin kini terkunci hingga likuiditas baru masuk atau peminjam melunasi utang.
  • Penarikan Whale: Abraxas Capital menarik sekitar $392 juta, MEXC menarik $431 juta, dan whale yang terhubung dengan Nonco menarik sekitar $405,7 juta.

Penilaian Industri terhadap Keamanan Kontrak Inti Aave

Perlu dicatat bahwa kontrak inti Aave tidak diretas dalam insiden ini. Penyerang mengeksploitasi kerentanan jembatan Kelp DAO untuk mencetak "kolateral udara", lalu memanfaatkan komposabilitas DeFi guna meminjam aset nyata di sistem Aave. Pendiri Aave, Stani, menyatakan dalam AMA komunitas bahwa ini adalah "kontaminasi hulu", bukan bug protokol—pandangan yang secara luas didukung peneliti keamanan.

Dua Skenario Penutupan Utang Macet Aave

Saat ini terdapat dua teori utama terkait penutupan utang macet Aave: Pertama, protokol dapat menyerap kerugian secara bertahap melalui cadangan treasury dan pendapatan bulanan sekitar $12 juta. Kedua, jika kekurangan melebihi cadangan, Aave mungkin harus menggunakan Safety Module-nya, dengan melakukan slashing pada token AAVE yang di-stake—secara efektif membebankan biaya kerentanan Kelp DAO kepada staker setia Aave. Hingga 20 April, Aave belum mengumumkan solusi final.

Analisis Harga dan Depegging rsETH

Perubahan Sirkulasi rsETH

Serangan ini menghasilkan pencetakan 116.500 rsETH—sekitar 18% dari total suplai—tanpa dukungan ETH nyata. Semua aset rsETH lintas rantai di lebih dari 20 jaringan kini menghadapi ketidakpastian terkait jaminan, menunggu rekonsiliasi cadangan dan suplai beredar dari Kelp.

Pertanyaan tentang Mekanisme Harga rsETH

Analis mencatat bahwa sebagai LRT (Liquid Restaking Token) representatif, nilai rsETH bergantung pada integritas cadangan ETH yang mendasarinya. Setiap celah antara cadangan dan suplai beredar secara fundamental merusak peg harga. Konfigurasi 1/1 DVN Kelp DAO memusatkan verifikasi lintas rantai pada satu node, mengorbankan redundansi demi efisiensi dan membuka kerentanan sistemik bagi aset LRT dalam skenario lintas rantai.

Strategi Bijak SparkLend Terbukti Efektif

Mitigasi Risiko Proaktif Spark Protocol

Lead strategi Spark Protocol, monetsupply.eth, mengungkapkan bahwa Spark secara proaktif menghapus aset berutilisasi rendah—termasuk rsETH—pada Januari 2026, dan sejak itu memperketat kriteria kolateral serta batasan fungsi. Meski langkah ini sempat memicu kemarahan pengguna leverage ETH, keputusan tersebut terbukti sangat bijak dalam manajemen risiko saat krisis Kelp DAO.

Perbandingan Likuiditas

Saat Aave kesulitan likuiditas ETH akibat eksposur rsETH, SparkLend tetap memiliki likuiditas penarikan ETH yang memadai. Spark juga menetapkan batas suku bunga pinjaman ETH lebih tinggi, rela kehilangan sebagian bisnis ke Aave namun membangun neraca yang lebih sehat.

Pentingnya Penyaringan Kolateral

Penghapusan rsETH oleh Spark sejak awal menyoroti pelajaran utama: Dalam protokol pinjaman DeFi, penyaringan kolateral yang ketat lebih penting daripada memperluas jenis kolateral demi mengejar TVL. Saat terjadi peristiwa ekstrem, penerimaan kolateral secara luas bisa menjadi titik kelemahan sistemik, sementara seleksi aset yang bijak adalah garis pertahanan pertama protokol.

Potensi Pergeseran Kompetisi Protokol Pinjaman

Peristiwa ini dapat mendorong perubahan dalam cara protokol pinjaman DeFi bersaing. Model pertumbuhan "maksimalisasi TVL" kemungkinan akan kembali dipertanyakan oleh komunitas dan investor, dengan kualitas aset serta kemampuan isolasi risiko menjadi metrik inti keamanan protokol. Strategi Spark saat krisis mendapat apresiasi pasar dan bisa menjadi inspirasi bagi protokol lain untuk mengkalibrasi kebijakan kolateral.

Komunitas, Tim Pengembang, dan Peneliti Keamanan: Dialog Tiga Arah

Sentimen Komunitas: Dari Panik Menuju Refleksi

Penarikan Panik dan Diskusi Data

Dalam beberapa jam setelah insiden, diskusi di komunitas Tiongkok dan Inggris di X melampaui 100 juta posting. Sentimen awal didominasi penarikan panik dan kekhawatiran keamanan aset. Pendiri DeFiLlama, 0xngmi, mencatat di X bahwa bahkan protokol di Solana—yang tidak terdampak langsung—tetap mengalami arus keluar modal. Ia menambahkan bahwa TVL DeFi menyusut hampir $10 miliar, sembari berkomentar, "Tidak ada pemenang dalam peristiwa seperti ini—kue industri menjadi lebih kecil, dan semua pihak merugi."

Komunitas Terbelah soal Manajemen Risiko Aave

Setelah Aave membekukan pasar rsETH, komunitas terbelah menjadi dua kubu. Pendukung menilai respons cepat Aave berhasil membatasi utang macet lebih lanjut, menunjukkan ketahanan pinjaman terdesentralisasi. Kritikus berpendapat penilaian risiko Aave terhadap rsETH sebagai kolateral sebelumnya kurang memadai, terutama mengingat Spark sudah menghapusnya sejak Januari.

Respons Tim Protokol dan Pengembang

Pernyataan Resmi dari Protokol

  • Kelp DAO: Akun resmi X mengonfirmasi "aktivitas mencurigakan pada transfer lintas rantai rsETH" dan mengumumkan investigasi penuh bersama LayerZero, auditor, dan pakar keamanan.
  • LayerZero: Postingan resmi X menyatakan mereka "mengetahui insiden dan sedang menyelidiki akar permasalahan."
  • Aave: Pernyataan resmi menyebut rsETH di Ethereum mainnet "sepenuhnya didukung," namun pasar tetap dibekukan demi kehati-hatian, dengan eksposur terkendali.

Perdebatan Industri soal Tanggung Jawab

Peneliti keamanan umumnya sepakat bahwa konfigurasi jembatan 1/1 DVN Kelp DAO adalah akar masalah. Namun, terdapat dua pandangan terkait tanggung jawab: Ada yang menilai Kelp DAO sebagai pengembang protokol harus menanggung utama; lainnya menyoroti LayerZero sebagai penyedia infrastruktur lintas rantai juga kurang memberikan panduan konfigurasi dan promosi praktik terbaik.

Perspektif Peneliti Keamanan

Diagnosis Teknis Kerentanan

Analisis mendalam yang diposting oleh banyak peneliti keamanan di X menyimpulkan serangan berasal dari konfigurasi LayerZero OApp (Omnichain Application) milik Kelp DAO: penggunaan model 1/1 DVN yang bergantung pada satu validator, memungkinkan penyerang memalsukan pesan verifikasi lintas rantai. Dengan membuat payload jahat, penyerang memicu pencetakan rsETH di rantai target tanpa jaminan aset lintas rantai—pada dasarnya "menciptakan" hampir $300 juta aset sintetis dari udara.

Paralel Historis dan Pelajaran

Peneliti membandingkan serangan ini dengan insiden jembatan Nomad tahun 2022: keduanya melibatkan cacat konfigurasi pada validasi lintas rantai, dengan penyerang mengeksploitasi kelemahan proses verifikasi pesan. Setelah Nomad, kewaspadaan industri terhadap keamanan jembatan sempat meningkat, namun desain jembatan baru dan jenis aset semakin kompleks (seperti LRT) kini membuka permukaan serangan baru. Insiden Kelp DAO menunjukkan keamanan jembatan lintas rantai masih belum terselesaikan—dan justru semakin menantang seiring bertambahnya kompleksitas aset.

Analisis Dampak Industri: Dari Kegagalan Tunggal Menuju Risiko Sistemik

Guncangan Kepercayaan pada Sektor LRT

Logika Nilai Anchor Aset LRT Dipertanyakan

Sebagai aset LRT unggulan, pengalaman rsETH mengungkap risiko struktural bagi LRT dalam konteks lintas rantai: nilai anchor bergantung pada integritas cadangan ETH, namun kerentanan jembatan dapat menciptakan token "tanpa anchor" tanpa menyentuh cadangan. Hal ini merusak fondasi kepercayaan seluruh sektor LRT.

Standar Transparansi Cadangan dan Audit LRT Meningkat

Setelah insiden, industri mungkin menuntut transparansi cadangan dan audit yang lebih ketat untuk protokol LRT. Kelp DAO harus membuktikan integritas suplai rsETH yang tersisa setelah rekonsiliasi cadangan. Proses ini bisa menjadi titik balik standar keamanan di sektor LRT.

Menilai Ulang Isolasi Risiko pada Protokol Pinjaman

Arsitektur Pasar Terisolasi Morpho Terbukti Tangguh

Arsitektur pasar terisolasi Morpho membatasi eksposur rsETH hanya sekitar $1 juta, tersebar di dua pasar terpisah, sehingga mencegah dampak sistemik pada protokol. Sebaliknya, desain pool pinjaman terpadu Aave memungkinkan kontaminasi dari satu jenis kolateral menyebar cepat ke seluruh protokol.

Arsitektur Protokol Lebih Penting dari Kontrol Risiko Reaktif

Kontras antara Morpho dan Aave menyoroti wawasan utama: dalam keamanan DeFi, isolasi risiko arsitektural lebih fundamental daripada kontrol risiko reaktif. Meski pasar terisolasi mengorbankan efisiensi modal, mereka memberikan perlindungan layaknya firewall saat peristiwa ekstrem.

Keamanan Jembatan Lintas Rantai: Masalah Lama, Nuansa Baru

Risiko Keamanan pada Parameter Konfigurasi LayerZero

Akar teknis insiden Kelp DAO adalah konfigurasi jembatan 1/1 DVN, yang menciptakan titik kegagalan tunggal pada verifikasi aset lintas rantai. Dengan fleksibilitas konfigurasi LayerZero, risiko meningkat jika tidak dikelola dengan baik.

Dorongan Industri untuk Standar Keamanan Jembatan Lintas Rantai

Setelah insiden, industri mungkin mempercepat upaya standarisasi praktik terbaik keamanan jembatan lintas rantai. Langkah seperti validasi multi-DVN, time lock, dan batas transaksi bisa menjadi persyaratan dasar untuk implementasi jembatan. Curve Finance, misalnya, menghentikan infrastruktur LayerZero untuk tinjauan keamanan setelah insiden—langkah yang mungkin segera diikuti protokol lain.

Analisis Skenario: Proyeksi Masa Depan Keamanan DeFi Pasca Krisis

Skenario Dasar: Pemulihan Bertahap, Ketahanan Institusional

Dalam skenario ini, Aave secara bertahap menyerap utang macet melalui cadangan dan pendapatan, Kelp DAO menyelesaikan rekonsiliasi cadangan serta mengungkap dukungan nyata untuk rsETH yang tersisa, dan industri pulih setelah masa sulit jangka pendek. Variabel kunci yang perlu diperhatikan antara lain: apakah Aave dapat menutup kekurangan tanpa melakukan slashing pada Safety Module, apakah rekonsiliasi Kelp DAO mendukung nilai residual rsETH, dan apakah protokol LRT lain mampu memulihkan kepercayaan lewat transparansi lebih besar.

Skenario Stres: Penurunan Harga ETH Memicu Likuidasi Sekunder

Lead strategi Spark, monetsupply.eth, memperingatkan bahwa dengan ETH sebagai kolateral inti, 100% utilisasi berarti likuidasi mustahil dilakukan. Jika harga ETH turun 15–20% sementara likuiditas Aave tetap ketat, utang macet tambahan dapat terkumpul dengan cepat. Dalam kasus ini, Safety Module stkAAVE Aave mungkin menghadapi peristiwa slashing besar pertama, langsung berdampak pada pemegang token. Risiko yang lebih luas adalah siklus "krisis likuiditas—likuidasi gagal—utang macet membengkak", berpotensi memengaruhi semua protokol DeFi yang bergantung pada ETH sebagai kolateral inti.

Skenario Transformasi: Pembaruan Sistemik Arsitektur Keamanan DeFi

Insiden ini bisa menjadi katalis pembaruan sistemik arsitektur keamanan DeFi. Potensi perkembangan meliputi: standar industri untuk keamanan jembatan lintas rantai (validasi multi-DVN wajib, time lock, batas transaksi), proof-of-reserves rutin untuk protokol LRT (rekonsiliasi harian atau real-time), kriteria masuk lebih ketat untuk aset derivatif berisiko tinggi di protokol pinjaman (mengadopsi model penyaringan aset Spark), dan adopsi luas arsitektur pasar terisolasi di protokol pinjaman utama. Pencapaian ini akan membutuhkan kompromi baru antara keamanan dan efisiensi—namun insiden Kelp DAO telah menunjukkan bahwa mengorbankan redundansi demi efisiensi membawa biaya jauh lebih tinggi dari yang diperkirakan banyak pihak.

Kesimpulan

Eksploitasi Kelp DAO senilai $293 juta bukan sekadar peretasan berskala besar—ini adalah uji stres nyata terhadap risiko sistemik di DeFi. Dengan mengeksploitasi cacat konfigurasi jembatan, penyerang memicu kontagion berlapis dari aset LRT ke protokol pinjaman utama dan ekosistem DeFi yang lebih luas, hingga menghapus $8,45 miliar dari TVL Aave dan lebih dari $13,2 miliar dari total modal DeFi hanya dalam dua hari.

Dalam krisis ini, protokol menghadapi nasib yang sangat berbeda: Aave, dengan penerimaan kolateral yang luas, menanggung tekanan besar; Morpho, berkat desain pasar terisolasi, membatasi risiko ke lingkup minimal; SparkLend, yang proaktif menghapus rsETH dan aset berutilisasi rendah lainnya, keluar tanpa dampak. Hasil kontras ini menegaskan satu pelajaran utama: dalam DeFi, keamanan bukan sekadar kumpulan langkah teknis—melainkan filosofi arsitektur.

Per 20 April 2026, rekonsiliasi cadangan Kelp DAO masih berlangsung, penyelesaian utang macet Aave masih didiskusikan, dan nilai riil rsETH menunggu penilaian ulang. Isu-isu yang belum terselesaikan ini akan terus menguji ketahanan institusi dan tata kelola DeFi. Namun yang pasti, krisis keamanan 2026 ini akan meninggalkan jejak mendalam dalam sejarah DeFi—memaksa industri untuk meninjau ulang model pertumbuhan "efisiensi-utama" dan mencari keseimbangan baru antara keamanan dan ekspansi.

The content herein does not constitute any offer, solicitation, or recommendation. You should always seek independent professional advice before making any investment decisions. Please note that Gate may restrict or prohibit the use of all or a portion of the Services from Restricted Locations. For more information, please read the User Agreement

Bagikan

Artikel terkait
Gate DEX BountyDrop: Ikuti Airdrop AlloX dan Dapatkan Bagian dari $10.000 ALLOX
WEB3
Gate DEX BountyDrop: Ikuti Airdrop AlloX dan Dapatkan Bagian dari $10.000 ALLOX
Gate DEX BountyDrop adalah pusat terpadu yang mengumpulkan proyek airdrop terpopuler, memberikan akses cepat bagi pengguna untuk mengikuti berbagai tugas interaktif.
Blog Team2026-04-22 18:45
Perdagangan ASTEROID Perps di Gate DEX, Ikuti dan Raih Hadiah 20.000 USDT
WEB3
Perdagangan ASTEROID Perps di Gate DEX, Ikuti dan Raih Hadiah 20.000 USDT
Gate Perp DEX secara resmi telah meluncurkan Kontrak Perpetual ASTEROID/USDT. Ikuti tantangan trading dan raih kesempatan berbagi total hadiah sebesar 20.000 USDT.
Blog Team2026-04-20 19:27
Gate DEX BountyDrop: Ikuti Airdrop ForeGate dan Dapatkan Bagian dari 50.000 Poin
WEB3
Gate DEX BountyDrop: Ikuti Airdrop ForeGate dan Dapatkan Bagian dari 50.000 Poin
Gate DEX BountyDrop adalah pusat terpadu yang mengumpulkan proyek airdrop paling populer, memberikan akses cepat bagi pengguna untuk mengikuti berbagai tugas interaktif.
Blog Team2026-04-20 18:22
Pelacak Dompet
Pelacak
Posisi
Watchlist
App
Tentang
Komunitas
Umpan balik