Seorang penyerang dilaporkan telah memanfaatkan celah dalam proses pencetakan token rsETH milik KelpDAO pada 18 April 2026, yang mengakibatkan kerugian diperkirakan sebesar $280 juta atau lebih di jaringan Ethereum dan Arbitrum.
ZachXBT Mengungkap Eksploitasi KelpDAO Senilai Lebih dari $280 Juta yang Menyerang Pasar Pinjaman DeFi Ethereum
DITULIS OLEH
BAGIKAN
Poin Penting:
- ZachXBT melaporkan pencurian senilai lebih dari $280 juta di protokol DeFi Ethereum dan Arbitrum pada 18 April 2026.
- Kelemahan pencetakan rsETH KelpDAO menyebabkan utang macet di Aave V3, dengan harga token AAVE turun sekitar 10-13%.
- KelpDAO belum mengonfirmasi eksploitasi tersebut; para analis sedang memantau enam dompet penyerang yang teridentifikasi untuk mencari petunjuk pemulihan.
Eksploitasi DeFi Ethereum: Serangan rsETH KelpDAO Menguras Lebih dari $280 Juta
Peneliti on-chain ZachXBT memposting peringatan awal di saluran Telegram publiknya tak lama sebelum pukul 15.00 ET, mencantumkan enam alamat dompet yang terkait dengan pencurian dan mencatat bahwa dompet penyerang didanai melalui Tornado Cash sebelum penarikan dimulai. Postingannya menyebutkan kerugian melebihi $280 juta di berbagai protokol DeFi tanpa menyebut KelpDAO secara langsung, namun analis on-chain menghubungkan alamat-alamat tersebut dalam hitungan jam.
"KelpDAO tampaknya telah kehilangan lebih dari $280 juta satu jam yang lalu di Ethereum dan Arbitrum," tulis ZachXBT. "Alamat-alamat penyerang didanai melalui Tornado Cash."
Serangan tersebut mengikuti skenario yang sudah sering terjadi. Laporan menyebutkan para penyerang tampaknya telah memanfaatkan celah dalam logika pencetakan rsETH, menciptakan volume besar token restaking likuid tanpa menyediakan jaminan yang memadai. rsETH yang diembel-embeli tersebut kemudian disetorkan ke pasar pinjaman Aave V3 di Ethereum dan Arbitrum, di mana penyerang meminjam jumlah besar ETH dan aset lain dengan menjaminkan token tersebut.
Setelah jaminan tersebut diakui tidak bernilai, posisi-posisi tersebut meninggalkan Aave dengan utang macet. Perkiraan komunitas mengenai total kerugian berkisar antara $100 juta hingga sekitar $293 juta, setara dengan sekitar 116.500 ETH pada harga saat ini.
AAVE anjlok tajam setelah berita tersebut. Data pasar menunjukkan penurunan antara 10% hingga 13% dalam hitungan jam setelah peringatan awal, seiring pasar mempertimbangkan potensi paparan utang macet di seluruh kolam pinjaman protokol.
Token restaking likuid seperti rsETH berada di inti komposabilitas DeFi. Token-token ini diterima sebagai jaminan di beberapa pasar pinjaman secara bersamaan, yang berarti eksploitasi pencetakan dapat menyebarkan kerugian dengan cepat di berbagai platform. Insiden KelpDAO secara langsung menggambarkan risiko tersebut.
Dompet penyerang yang diidentifikasi oleh ZachXBT menunjukkan posisi ETH yang besar di Aave dan Compound. Satu alamat saja dilaporkan memegang sekitar $120 juta dalam bentuk ETH di Aave pada saat deteksi. Dana tersebut dipindahkan dengan cepat setelah penarikan.
Penggunaan Tornado Cash untuk mendanai dompet operasional sebelum serangan merupakan taktik standar bagi penyerang yang berusaha menyamarkan asal-usul dana. Hal ini tidak menandakan teknik baru, tetapi mengonfirmasi bahwa operasi tersebut dilakukan secara sengaja dan terencana.
Hingga sekitar pukul 15.00 ET pada 18 April, KelpDAO belum menerbitkan pernyataan resmi atau laporan pasca-insiden. Komunitas memantau akun X dan situs web proyek tersebut untuk tanggapan, serta saluran tata kelola Aave untuk tindakan darurat.
Perusahaan keamanan DeFi, termasuk Peckshield, Slowmist, dan lainnya, belum menerbitkan analisis rinci pada saat penulisan ini, mencerminkan seberapa cepat situasi berkembang. ZachXBT belum memposting tindak lanjut yang secara khusus menyebut KelpDAO di saluran publik, namun tumpang tindih alamat tersebut menarik garis yang jelas.
Peretasan Drift Protocol 2026: Apa yang Terjadi, Siapa yang Kehilangan Uang, dan Apa yang Akan Terjadi Selanjutnya
Drift Protocol mengalami kerugian sebesar $286 juta pada tanggal 1 April 2026 akibat serangan peretasan DeFi Solana yang berlangsung selama 12 menit, yang dikaitkan dengan pelaku dari Korea Utara yang menggunakan jaminan palsu dan teknik rekayasa sosial. read more.
Baca sekarang
Peretasan Drift Protocol 2026: Apa yang Terjadi, Siapa yang Kehilangan Uang, dan Apa yang Akan Terjadi Selanjutnya
Drift Protocol mengalami kerugian sebesar $286 juta pada tanggal 1 April 2026 akibat serangan peretasan DeFi Solana yang berlangsung selama 12 menit, yang dikaitkan dengan pelaku dari Korea Utara yang menggunakan jaminan palsu dan teknik rekayasa sosial. read more.
Baca sekarangPeretasan Drift Protocol 2026: Apa yang Terjadi, Siapa yang Kehilangan Uang, dan Apa yang Akan Terjadi Selanjutnya
Baca sekarangDrift Protocol mengalami kerugian sebesar $286 juta pada tanggal 1 April 2026 akibat serangan peretasan DeFi Solana yang berlangsung selama 12 menit, yang dikaitkan dengan pelaku dari Korea Utara yang menggunakan jaminan palsu dan teknik rekayasa sosial. read more.
Insiden ini terpisah dari eksploitasi Drift Protocol yang pertama kali dilaporkan oleh Bitcoin.com News pada 1 April 2026, yang melibatkan sekitar $280 juta yang dikuras terutama di Solana sebelum USDC dipindahkan ke Ethereum melalui CCTP. Mekanisme, rantai, dan garis waktu insiden ini berbeda.
Siapa pun yang memegang rsETH atau posisi terkait di Aave, Compound, atau pasar pinjaman lainnya disarankan oleh anggota komunitas untuk meninjau eksposur mereka selama situasi belum terselesaikan.
Enam dompet penyerang yang diidentifikasi oleh ZachXBT tetap menjadi target aktif untuk pelacakan on-chain saat para analis berusaha memetakan ke mana dana tersebut berpindah setelah meninggalkan Aave.
