Eksploitasi Kelp DAO: Kegagalan Jembatan Senilai $290 Juta yang Melumpuhkan DeFi

Pada 18 April 2026, Kelp DAO, salah satu protokol restaking likuid terbesar di Ethereum, mengalami eksploitasi besar-besaran yang mengakibatkan kehilangan 116.500 rsETH—dengan nilai sekitar $290–$292 juta. Serangan ini, yang diyakini tinggi kemungkinan dilakukan oleh Grup Lazarus dari Korea Utara (khususnya subunit TraderTraitor), adalah peretasan DeFi terbesar di tahun 2026 dan memicu krisis likuiditas segera di sektor pinjaman.

Dalam 48 jam, insiden ini menghapus $13–$15 miliar dari total nilai terkunci (TVL) DeFi saat protokol besar membekukan pasar dan kumpulan stablecoin mencapai pemanfaatan 100%.

---

Mekanisme Eksploitasi: RPC Poisoning dan Titik Kegagalan Tunggal

Serangan ini tidak menargetkan bug kontrak pintar dalam kode inti Kelp DAO. Sebaliknya, ia mengeksploitasi konfigurasi jembatan Token Fungible Omnichain (OFT) LayerZero dari protokol tersebut.

Kelp DAO menggunakan LayerZero untuk membuat rsETH tersedia di sekitar 20 blockchain melalui model lock-and-mint. Keamanan jembatan ini bergantung pada Jaringan Verifier Terdesentralisasi (DVN) untuk mengonfirmasi pesan lintas rantai. Kelp DAO mengoperasikan pengaturan DVN 1-dari-1, yang berarti satu verifier (Zero Labs) adalah penjaga tunggal.

Para penyerang melancarkan serangan RPC poisoning yang canggih:

1. Kompromi Infrastruktur: Peretas mendapatkan akses ke daftar node RPC yang digunakan oleh DVN LayerZero dan mengkompromikan dua di antaranya, menukar biner yang sah dengan versi berbahaya.
2. Kegagalan Paksa: Mereka meluncurkan serangan Dodos pada RPC bersih yang tersisa, memaksa sistem untuk beralih ke node yang teracuni.
3. Pemalsuan: Node yang dikompromikan melaporkan data transaksi palsu kepada DVN. Pada pukul 17:35 UTC, penyerang mengirimkan paket LayerZero palsu yang mengklaim berasal dari Unichain. Pengaturan verifier tunggal menyetujui pesan tersebut, melepaskan dana.

LayerZero mengonfirmasi bahwa kode berbahaya itu menghancurkan diri sendiri setelah eksploitasi, menghapus log dan biner untuk menghambat analisis forensik.