Dari Serangan KelpDAO hingga Risiko Utang Bermasalah Aave: Analisis Krisis Agunan rsETH dan Mekanisme Perlindungan Cadangan
Pada 18 April 2026, sebuah serangan yang tidak menyentuh kode smart contract menghasilkan utang buruk terbesar dalam sejarah Aave, protokol peminjaman terkemuka yang sebelumnya belum pernah mengalami insiden keamanan. Penyerang mencetak 116.500 rsETH secara tiba-tiba melalui cross-chain bridge KelpDAO, mendepositkan token tanpa jaminan tersebut ke Aave sebagai kolateral, meminjam sejumlah besar WETH, lalu menghilang. Berdasarkan data pasar Gate, per 22 April 2026, token AAVE diperdagangkan di harga $92,51, turun 7,72% dalam 7 hari terakhir, dengan sentimen pasar tetap netral. Namun, kekhawatiran pasar jauh melampaui harga token—apakah cadangan keamanan Umbrella Aave mampu menutupi utang buruk ini yang bisa mencapai $230,1 juta? Akankah krisis ini memicu penularan sistemik yang lebih luas di DeFi?
Serangan Presisi dalam 46 Menit
Pada pukul 17.35 UTC, 18 April 2026, cross-chain bridge rsETH yang dibangun KelpDAO di atas teknologi LayerZero menjadi sasaran serangan. Dalam 46 menit, penyerang berhasil melepaskan 116.500 rsETH dari Ethereum mainnet, senilai sekitar $292 juta saat itu—hampir 18% dari total pasokan rsETH yang beredar. Kelompok multisig darurat KelpDAO merespons sekitar 46 menit kemudian dengan membekukan komponen inti protokol, termasuk pool likuiditas LRT, kontrak penarikan, oracle, dan token rsETH, berhasil memblokir dua upaya penarikan berikutnya dengan total 40.000 rsETH (sekitar $100 juta). Namun, pada saat itu, 116.500 rsETH sudah dipindahkan penyerang ke delapan alamat cash-out yang telah dipersiapkan dan dengan cepat disuntikkan ke pasar Aave V3 dan V4.
Serangan ini menjadikan insiden KelpDAO sebagai eksploitasi protokol DeFi tunggal terbesar di tahun 2026 sejauh ini.
Kronologi Kejadian
| Waktu (2026) | Peristiwa Utama |
|---|---|
| 18 April, 17.35 UTC | Penyerang mengirim pesan cross-chain palsu ke kontrak bridge KelpDAO, secara ilegal melepaskan 116.500 rsETH |
| Dalam 46 menit setelah serangan | Multisig darurat KelpDAO membekukan komponen inti protokol, mencegat upaya penarikan lanjutan |
| Dalam 6 menit setelah serangan | Penyerang mendepositkan rsETH ke Aave V3/V4 melalui 8 alamat yang telah dipersiapkan, meminjam WETH |
| Dini hari 19 April | Guardians Aave membekukan seluruh cadangan rsETH/wrsETH di 11 pasar, menetapkan LTV menjadi nol |
| 19 April | Menurut DefiLlama, TVL Aave anjlok dari $26,3 miliar menjadi sekitar $18 miliar, menghapus $8,3 miliar dalam dua hari |
| 20 April | LayerZero merilis laporan awal, mengaitkan serangan dengan Lazarus Group Korea Utara (TraderTraitor) |
| 21 April | Arbitrum Security Council membekukan 30.766 ETH (~$71 juta) yang terkait dengan serangan |
- Kerugian: 116.500 rsETH, sekitar $292 juta
- Pasar Aave yang terdampak: 11, termasuk Ethereum Core, Arbitrum, Mantle, Base, Linea, dan lainnya
- Outflow TVL Aave: sekitar $8,3 miliar dalam dua hari
- TVL DeFi secara industri yang menguap: sekitar $10 miliar
Analisis Teknis Mendalam
Serangan ini bukan eksploitasi smart contract tradisional, melainkan peristiwa kompleks yang menggabungkan "cacat konfigurasi bridge" dengan "serangan infrastruktur tingkat negara." Serangan berlangsung sebagai berikut:
Langkah 1: Mendapatkan daftar node RPC. Penyerang memperoleh daftar node RPC yang digunakan oleh jaringan validator terdesentralisasi (DVN) LayerZero Labs.
Langkah 2: Meracuni node RPC. Penyerang mengkompromikan dua node RPC tersebut, mengganti op-geth binaries dengan versi berbahaya. Node ini menyajikan data palsu khusus untuk IP DVN, namun tampak "jujur" bagi pengamat lain.
Langkah 3: DDoS memicu failover. Penyerang melancarkan serangan distributed denial-of-service pada node RPC yang belum dikompromikan, memaksa DVN mengarahkan seluruh trafik ke node yang telah diracuni.
Langkah 4: Mengirim pesan cross-chain palsu. Penyerang mengirim pesan cross-chain palsu, seolah-olah dari deployment Unichain KelpDAO. DVN memvalidasi pesan berdasarkan state on-chain palsu dari node yang diracuni. Setelah kuorum multisig 2/3 tercapai, pesan palsu tersebut diotentikasi sebagai sah.
Langkah 5: Melepaskan rsETH di Ethereum mainnet. Penyerang memanggil fungsi commitVerification() dan lzReceive(), menyebabkan adapter rsETH OFT di Ethereum mencetak dan melepaskan 116.500 rsETH ke alamat penyerang.
Langkah 6: Cash-out. Penyerang mendistribusikan rsETH ke delapan alamat yang telah dipersiapkan, yang masing-masing dalam waktu sekitar enam menit mendepositkan rsETH ke Aave sebagai kolateral, meminjam WETH, dan memindahkan aset keluar.
Data on-chain membuktikan serangan ini: outboundNonce Unichain tetap di 307, sementara nonce yang diklaim penyerang, 308, tidak pernah ada. Tidak ada event PacketSent untuk nonce 308 yang dikeluarkan, dan total pasokan rsETH di Unichain hanya 49,26—sehingga cross-chain burn sebesar 116.500 secara matematis tidak mungkin terjadi.
Mengukur Eksposur Risiko Aave
Menurut laporan insiden 21 April dari penyedia layanan risiko Aave, LlamaRisk, penyerang mendepositkan 89.567 rsETH hasil curian sebagai kolateral di berbagai pasar Aave V3, meminjam sekitar 82.650 WETH (~$191 juta) dan 821 wstETH. Karena token rsETH ini dicetak tanpa aset dasar dan tidak memiliki nilai riil, nilai kolateralnya dalam sistem Aave secara efektif nol, menghasilkan utang buruk.
Aave menghadapi dua skenario utang buruk, dengan resolusi akhir bergantung pada keputusan alokasi kerugian KelpDAO:
| Dimensi | Skenario 1: Berbagi Kerugian Global | Skenario 2: Kerugian Terbatas pada Jaringan L2 |
|---|---|---|
| Jumlah utang buruk | sekitar $123,7 juta | sekitar $230,1 juta |
| Pasar utama terdampak | Ethereum Core | Mantle, Arbitrum |
| Data risiko utama | Cadangan WETH cukup dalam | Kekurangan Mantle 71,45%, Arbitrum 26,67% |
| Risiko depegging rsETH | sekitar 15% | Lebih tinggi |
| Potensi cakupan Umbrella | Parsial | Sulit untuk menutupi |
Sumber: laporan insiden LlamaRisk
Penilaian Cakupan Cadangan
Pada saat laporan diterbitkan, pool dana relevan Aave adalah sebagai berikut:
- Aave DAO Treasury: Memiliki sekitar $181 juta aset
- Umbrella Safety Reserve: Sekitar $80–100 juta
- OG Safety Module: Masih menyimpan sekitar $300 juta dalam token AAVE; pemotongan 20% dapat menyediakan tambahan sekitar $60 juta untuk menutupi kerugian
Proyeksi kekurangan cadangan:
Dalam skenario terburuk (utang buruk $230,1 juta), bahkan setelah mengerahkan cadangan Umbrella (sekitar $55 juta), Treasury Aave (sekitar $85 juta), dan pemotongan OG Safety Module (sekitar $60 juta), masih terdapat kekurangan sekitar $76 juta yang harus ditutup dengan meminjam atau menjual token AAVE.
Perbedaan Pendapat di Industri
Insiden ini memicu interpretasi dan atribusi yang tajam di industri, dengan perdebatan berpusat pada tiga area utama:
Sengketa Tanggung Jawab
LayerZero menyoroti pilihan arsitektur KelpDAO, menekankan bahwa KelpDAO menggunakan konfigurasi "1/1 DVN"—artinya satu validator dapat menyetujui pesan cross-chain—sementara praktik terbaik industri adalah menggunakan beberapa DVN. LayerZero menyatakan telah berulang kali menyarankan KelpDAO untuk beralih ke setup multi-DVN, yang tidak diadopsi, dan mengumumkan tidak akan lagi menandatangani pesan untuk aplikasi yang menggunakan konfigurasi 1/1 DVN.
KelpDAO merespons bahwa mereka telah beroperasi di infrastruktur LayerZero sejak Januari 2024 dan menjaga komunikasi terbuka dengan tim LayerZero. KelpDAO mencatat isu konfigurasi DVN telah dibahas saat ekspansi jaringan L2, dengan pengaturan default secara eksplisit dikonfirmasi sebagai tepat, sehingga dokumentasi dan panduan LayerZero juga memikul tanggung jawab.
Pengamat industri menyoroti bahwa penyerang menunjukkan kemampuan untuk "menggabungkan kelemahan infrastruktur, aplikasi, dan hubungan kepercayaan." Ini bukan serangan oportunistik satu kali, melainkan infiltrasi canggih yang menargetkan sistem kompleks.
Evaluasi Respons Aave
Pendukung memuji respons cepat Aave—membekukan seluruh 11 pasar rsETH/wrsETH dalam hitungan jam, menetapkan LTV menjadi nol, menurunkan suku bunga WETH multi-chain, dan menghentikan peminjaman. Pendiri Aave, Stani, menyatakan dalam AMA komunitas bahwa kontrak inti protokol tetap aman dan pendapatan bulanan sekitar $12 juta cukup untuk menutupi potensi kerugian.
Kritikus menyoroti kemungkinan bahwa, jika token AAVE yang distake di safety module akhirnya digunakan untuk menutup kekurangan utang buruk, biaya kerentanan KelpDAO akan dialihkan ke staker Aave. Mereka juga mencatat bahwa mekanisme Umbrella, yang baru diluncurkan kurang dari dua bulan, sudah menghadapi ujian stres ekstrem, dengan efektivitasnya belum terbukti.
Refleksi Masa Depan DeFi
Pendiri DefiLlama, 0xngmi, berkomentar bahwa bahkan protokol yang tidak terdampak langsung pun tidak luput dari penarikan panik: Aave mengalami outflow bersih $6,2 miliar (-23%), dan hampir $10 miliar TVL DeFi menguap di seluruh industri. Ia menyatakan dengan tegas, "Tidak ada pemenang dalam insiden seperti ini—hanya ‘kue’ industri yang semakin mengecil."
Sebaliknya, sebagian pihak percaya bahwa meski "daftar hacker 2026" memperdalam pesimisme industri, ekonomi on-chain masih berkembang—kapitalisasi pasar gabungan USDT dan USDC mencapai sekitar $263 miliar, US Treasury yang ditokenisasi telah melampaui $10,9 miliar, dan modal berotasi ke produk yang lebih sederhana dengan transparansi kolateral lebih tinggi.
Memeriksa Dampak Struktural Industri
Pergeseran Paradigma Keamanan DeFi
Insiden KelpDAO mengungkap titik buta struktural dalam keamanan DeFi: audit saat ini berfokus pada kode smart contract, namun penyerang dapat sepenuhnya melewati kode dan menargetkan infrastruktur dasar. Dalam kasus ini, penyerang mengeksploitasi RPC poisoning dan serangan DDoS untuk merusak kepercayaan validasi cross-chain, tanpa mengeksploitasi kerentanan kontrak sama sekali. Ini menandai perluasan permukaan ancaman DeFi dari "kebenaran kode" menjadi "kepercayaan validasi" dan "integritas infrastruktur."
Firma riset keamanan mencatat, bersama dengan eksploitasi protokol Drift sebesar $285 juta di awal April (melibatkan penyalahgunaan privilege dan cacat pre-signature), serangan ini menunjukkan tren: izin tata kelola, proses penandatanganan, mekanisme bridge, oracle, dan konfigurasi parameter sama pentingnya, bahkan lebih penting, dari kode smart contract itu sendiri.
Dampak pada Pasar Liquid Restaking Token
Sebagai salah satu token liquid restaking (LRT) terbesar di ekosistem EigenLayer, krisis kepercayaan rsETH tak terelakkan meluas ke seluruh sektor LRT. Sebelum insiden, total value locked rsETH melebihi $1,5 miliar. Setelah serangan, seluruh pasar terkait rsETH dibekukan. Yang lebih penting, insiden ini menegaskan risiko inti LRT cross-chain: ketika LRT bergantung pada bridge cross-chain untuk beredar di banyak chain, kerentanan pada bridge salah satu chain dapat membahayakan pemegang token di seluruh chain.
Ujian Kredit Jangka Panjang Aave
Meskipun kontrak inti Aave tidak ditembus, tantangan "verifikasi keaslian kolateral" akan terus membebani tata kelola Aave. Sebagian pihak berpendapat kebutuhan paling mendesak adalah membangun mekanisme verifikasi sumber kolateral, mewajibkan aset cross-chain seperti rsETH menyediakan proof Merkle real-time atas kolateral dasar, sehingga oracle tidak hanya memvalidasi harga, tapi juga "keaslian aset." Apakah Aave akan memperkenalkan verifikasi kolateral lebih ketat di V4 akan menjadi perhatian industri.
Mempercepat Tren Migrasi Modal
Outflow dana yang dipicu insiden tidak terdistribusi merata. Data menunjukkan meski TVL protokol DeFi menurun, kapitalisasi pasar stablecoin dan US Treasury yang ditokenisasi terus tumbuh—kapitalisasi pasar USDT mencapai $185 miliar, USDC $78 miliar, dan US Treasury yang ditokenisasi melampaui $10,9 miliar. Divergensi ini menunjukkan modal keluar dari produk DeFi native yang kompleks menuju produk yang lebih sederhana dan transparan. Dokumen strategi stablecoin Visa 2026 juga mencatat pasokan stablecoin tumbuh lebih dari 50% pada 2025, dengan 2026 dipandang sebagai titik balik adopsi institusional.
Kesimpulan
Eksploitasi KelpDAO telah mengungkap masalah struktural yang lama luput dalam DeFi: keamanan kode smart contract tidak sama dengan keamanan sistem. Ketika penyerang dapat mencuri $292 juta tanpa menyentuh satu baris kode kontrak pun—hanya dengan merusak kepercayaan infrastruktur—paradigma keamanan seluruh industri harus beradaptasi. Bagi Aave, resolusi akhir utang buruk akan bergantung pada koordinasi multipihak dan keputusan alokasi KelpDAO. Yang lebih penting, insiden ini akan mendorong evolusi standar keamanan DeFi—validasi cross-chain redundan, proof keaslian kolateral, dan isolasi risiko antar protokol kini bukan lagi "nice-to-have," melainkan "kebutuhan survival." Seperti dikatakan pendiri DefiLlama, tidak ada pemenang dalam insiden seperti ini, namun setidaknya industri dapat tumbuh lebih tangguh melalui proses pematangan ini.
Bagikan
