Pengguna DeFi Tarik $10 Miliar akibat Eksploitasi $292 Juta, Pasar Berguncang

Eksploitasi KelpDAO Picu Kepanikan di Pasar DeFi

Sebuah eksploitasi senilai $292 juta di KelpDAO telah mengguncang pasar keuangan terdesentralisasi (DeFi) akhir pekan lalu. Peristiwa ini menyebabkan penarikan dana besar-besaran hingga $10 miliar dari industri DeFi dan memaksa beberapa protokol untuk membekukan pasar yang terkait dengan aset rsETH.

Rincian Eksploitasi yang Merugikan

Serangan dimulai pada Sabtu malam ketika seorang peretas mencuri sekitar 116.500 rsETH dari jembatan lintas-rantai KelpDAO. Nilai aset yang dicuri tersebut mencapai $292 juta pada saat itu, menurut data CryptoSlate.

KelpDAO menerbitkan rsETH kepada pengguna yang menyetorkan ETH ke dalam sistem restaking likuidnya. Platform ini kemudian mendelegasikan ETH tersebut melalui EigenLayer untuk menghasilkan imbal hasil tambahan di atas pengembalian staking standar. Kerugian KelpDAO kini mencatatkan diri sebagai eksploitasi DeFi terbesar pada tahun 2026, melampaui serangan-serangan sebelumnya tahun ini.

Mekanisme Serangan dan Dampaknya

rsETH yang dicuri kemudian beredar di pasar melalui LayerZero, jaringan pesan lintas-rantai yang memindahkan aset antar blockchain. Menurut pengembang inti Yearn Finance, Banteg, eksploitasi ini menargetkan rute yang menghubungkan Unichain dengan Ethereum mainnet.

Peretas berhasil memasukkan pesan palsu yang diterima sistem sebagai valid. Hal ini memicu adapter sisi Ethereum untuk melepaskan cadangan rsETH yang telah didanai sebelumnya. Rute ini dikonfigurasi sebagai jalur verifikasi terdesentralisasi satu-ke-satu tanpa verifikasi sekunder yang dapat mendeteksi transaksi mencurigakan.

"Transaksi jahat dengan nonce 308 diverifikasi dan dikirim pada pukul 17:35 UTC," ujar Banteg.

Setelah serangan, dompet multisignature darurat KelpDAO membekukan kontrak inti protokol. Langkah ini mencegah dua upaya pencurian tambahan yang berpotensi merugikan $100 juta lagi dalam rsETH.

Dampak terhadap Pasar dan Protokol Lain

Dana yang dicuri awalnya dipindahkan melalui Tornado Cash untuk menghapus jejak sebelum protokol dapat membatasi kerusakan. Sementara itu, rsETH yang didukung cadangan beredar di jaringan sekunder seperti Base, Arbitrum, Linea, Blast, Mantle, dan Scroll.

Ketika cadangan habis, pengguna yang memegang rsETH di luar Ethereum menghadapi ketidakpastian mengenai pencairan dan jaminannya. Tekanan ini dengan cepat meluas ke seluruh pasar.

Aave Menghadapi Kerugian Terbesar

Dampak terbesar terjadi pada Aave, platform pinjaman crypto terbesar, di mana peretas diduga menggunakan rsETH curian sebagai kolateral. Selama jendela serangan, orakel harga Aave terus membaca rsETH mendekati nilai normalnya. Hal ini memungkinkan protokol untuk menerbitkan 106.467 ETH terhadap kolateral yang terkontaminasi.

Akibatnya, Aave menghadapi potensi kerugian $236 juta dan memicu kepanikan pengguna. Data DeFiLlama menunjukkan Total Value Locked (TVL) Aave turun dari lebih dari $26 miliar menjadi sekitar $20 miliar akibat penarikan dana besar-besaran.

Analis on-chain mengungkapkan bahwa pemegang ETH besar di platform DeFi ini mempercepat penarikan. Misalnya, pendiri TRON, Justin Sun, dilaporkan menarik sebagian besar asetnya dari Aave.

Langkah-Langkah Keamanan dan Masa Depan DeFi

Insiden ini menyoroti kerentanan dalam sistem verifikasi lintas-rantai yang terlalu bergantung pada jalur tunggal. Para ahli menyerukan peningkatan mekanisme pengamanan, termasuk verifikasi berlapis dan pemantauan real-time untuk mencegah eksploitasi serupa di masa depan.

Sementara itu, KelpDAO dan Aave terus berupaya memulihkan kepercayaan pengguna. Protokol-protokol DeFi lainnya juga diminta untuk mengevaluasi ulang sistem keamanan mereka guna menghindari dampak yang lebih luas.