DeFi Kembali Dicuri $292 Juta, Bahkan Aave Tidak Aman Lagi?

Odaily星球日报Dipublikasikan tanggal 2026-04-18Terakhir diperbarui pada 2026-04-18

Abstrak

Pada 19 April, protokol DeFi Kelp DAO mengalami serangan keamanan besar, dengan kerugian diperkirakan mencapai 292 juta dolar AS. Serangan ini menargetkan kontrak bridge rsETH berbasis LayerZero, dengan peretas berhasil mencuri 116.500 rsETH. Penyebab utama serangan diduga karena kompromi kunci pribadi di chain sumber, dengan hanya satu validator yang mengamankan kontrak. Setelah pencurian, peretas menggunakan rsETH yang dicuri sebagai jaminan di platform pinjaman seperti Aave, Compound, dan Euler untuk meminjam WETH senilai lebih dari 236 juta dolar AS. Aave menanggapi dengan membekukan pasar rsETH di V3 dan V4, dan menyelidiki potensi kerugian. Meskipun ada kekhawatiran tentang bad debt yang signifikan, perkiraan kerugian bervariasi. Modul keamanan Aave, Umbrella, dengan dana sekitar 50 juta dolar AS, siap menanggung potensi kerugian. Ini adalah insiden keamanan besar kedua dalam bulan April, setelah serangan pada Drift Protocol di Solana. Kejadian ini mempertanyakan kembali keamanan protokol DeFi terkemuka dan menekankan pentingnya diversifikasi aset dan kewaspadaan bagi pengguna.

Orisinal | Odaily Planet Daily(@OdailyChina)

Penulis|Azuma(@azuma_eth)

Waktu Beijing 19 April, keamanan DeFi kembali menerima pukulan berat.

Data on-chain menunjukkan,sekitar pukul 1:35 pagi ini, kontrak bridge rsETH protokol staking likuiditas terbesar kedua Kelp DAO yang berbasis LayerZero diduga dieksploitasi oleh peretas, kehilangan 116.500 rsETH, bernilai sekitar $292 juta.

Melacak lebih lanjut catatan on-chain, alamat penyerang menerima dana awal 1 ETH dari protokol pencampur Tornado Cash sekitar 10 jam sebelum kejadian. Setelah itu, alamat tersebut memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, panggilan ini memicu kontrak bridge Kelp, mentransfer 116.500 rsETH ke alamat penyerang lain.

Sekitar 2,5 jam setelah kejadian, Kelp DAO secara resmi mengonfirmasi serangan di X: "Lebih awal hari ini, kami menemukan aktivitas cross-chain mencurigakan yang melibatkan rsETH. Selama penyelidikan, kami telah menangguhkan kontrak rsETH di mainnet dan beberapa Layer2. Auditor kami sedang bekerja sama dengan pakar keamanan LayerZero dan Unichain, memantau situasi ini dengan cermat. Kami akan memberi tahu Anda perkembangan terbaru, silakan pantau saluran resmi."

Setelah kejadian, berbagai proyek DeFi dan lembaga keamanan menganalisis penyebab insiden. Analisis D2 Finance banyak dikutip di komunitas — LayerZero Scan menandai sumber ujung ini sebagai Kelp DAO, yang berarti pesan ini berasal dari kontrak ujung yang dikerahkan secara sah oleh Kelp sendiri, dan jalur ini sebelumnya telah memiliki catatan 308 pesan nonce. Oleh karena itu,penyebab utama serangan ini adalah "kompromi kunci pribadi di chain sumber".

Pengembang TinyHumans AI Steven Enamakel menambahkan, kontrak ini hanya dijamin oleh satu set validator 1/1 (DVN), yang berarti hanya dibutuhkan satu transaksi salah dari validator untuk memicu masalah.

Peretas Melarikan Diri Melalui Aave, Diduga Menyebabkan Kredit Macet

Karena likuiditas perdagangan rsETH sendiri terbatas, strategi pelarian yang dipilih peretas adalah melalui protokol peminjaman seperti Aave, menggadaikan rsETH dan meminjam wETH yang likuiditas perdagangannya lebih baik.

Monitoring PeckShield Alert menunjukkan, hingga pukul 4:30 pagi ini, alamat peretas telah menyetor rsETH yang dicuri ke protokol peminjaman seperti Aave V3, Compound V3, Euler, dan meminjam sejumlah besar WETH, total utang melebihi $236 juta — di mana hanya platform Aave saja yang utangnya mencapai $196 juta, Compound $39,4 juta, Euler hanya $840.000.

Setelah kejadian, Aave segera membekukan pasar rsETH di Aave V3 dan V4, tim kemudian merilis pernyataan resmi di X: "Kontrak Aave tidak diserang, serangan ini terkait dengan rsETH. Pembekuan rsETH adalah untuk mencegah setoran rsETH baru dan pinjaman beragunkan selama evaluasi situasi. Kami sedang meninjau informasi pinjaman rsETH yang terjadi di Aave setelah serangan, dan akan segera berbagi detail lebih lanjut."

Tidak lama setelah pernyataan awal dirilis, Aave memperbarui dinamika tersebut, menambahkan kalimat di akhir: "Jika protokol mengakumulasi kredit macet karena peristiwa ini, kami akan mengeksplorasi cara untuk menutupi defisit."

Hingga terbitnya artikel ini,belum jelas jumlah pasti kredit macet yang disebabkan oleh peristiwa ini.

Direktur Strategi pesaing langsung Aave Spark, monetsupply.eth, menyatakan bahwa jika rsETH mengalami diskon 19% (jumlah yang dicuri merupakan 19% dari total pasokan rsETH), Aave mungkin menghasilkan kredit macet lebih dari $100 juta, karena adanya pinjaman berulang dengan leverage tinggi.

Namun, pendiri kelompok治理 perwakilan ekosistem Aave Aave Chan Initiative (ACI) Marc Zeller (telah mengumumkan akan keluar dari Aave pada Juli karena perbedaan治理) memberikan pandangan berbeda. Zeller pada awal ledakan peristiwa pernah menyarankan pengguna untuk mengambil WETH dari Aave V3 secepatnya untuk menghindari kerugian, dan mengonfirmasi pasar USDC dan USDT di Aave tidak terpengaruh, dia dalam membalas pengguna lain tentang dugaan "kredit macet mungkin mencapai skala ratusan juta" menyatakan: "Jauh lebih kecil dari angka itu."

Tapi Marc Zeller juga menyebutkan, sekarang saatnya menguji Umbrella dalam lingkungan produksi yang sebenarnya. Yang dimaksud Umbrella adalah modul keamanan otomatis Aave, sederhananya ini adalah kolam dana untuk menangani kredit macet, pengguna dapat menyetor aset ke dalamnya untuk mendapatkan insentif yang lebih tinggi, tetapi ketika protokol mengalami kredit macet, kolam dana ini juga harus menanggung kerugian potensial.

Data protokol Aave menunjukkan,saat ini Umbrella memiliki WETH bernilai sekitar $50 juta yang dapat digunakan untuk menangani kredit macet potensial dari peristiwa ini, tetapi sementara tidak pasti apakah cukup untuk menutupi lubang.

Dipengaruhi peristiwa ini, AAVE anjlok hampir 10%, hingga terbitnya artikel ini sementara diperdagangkan pada 104,6 USDT.

Peristiwa Keamanan Senilai Ratusan Juta Lainnya di Bulan April

Ini bukan peristiwa keamanan bernilai besar pertama yang terjadi bulan ini.

Pada 1 April, protokol perdagangan derivasi ekosistem Solana Drift Protocol pernah diserang, kerugian mencapai $280 juta (lihat "Lelucon April Mop? Drift Protocol Dicuri Lebih dari $280 Juta, atau Menjadi Perampokan DeFi Terbesar Kedua di Ekosistem Solana").

Setelahnya, Drift Protocol langsung menyalahkan pencurian pada "peretas Korea Utara", tetapi beruntungnya, institusi seperti Tether telah berkomitmen menyuntikkan dana $147,5 juta untuk ganti rugi pengguna, pengguna setidaknya memiliki sedikit harapan klaim.

Hanya berselang sepuluh lebih hari, ledakan peristiwa peretas dengan skala lebih besar terjadi, kali ini bagaimana akhirnya?

Apakah Masih Ada Tempat yang Aman untuk DeFi?

Masalah keamanan DeFi semakin menjadi-jadi.

Di satu sisi peristiwa peretas yang terus-menerus, di sisi lain ancaman keamanan berkelanjutan yang dibawa AI seperti Mythos (dapat merujuk "Wawancara Eksklusif Odaily dengan Yu Xian: Model Baru Level Nuklir Anthropic Bocor, Bagaimana Mempengaruhi Serangan dan Pertahanan Keamanan Kripto?"). Bagi pengguna DeFi, tindakan penanganan sebelumnya adalah mengumpulkan dana sebanyak mungkin ke protokol kepala yang diaudit penuh dan memiliki reputasi merek yang baik, tetapi sekarang,bahkan protokol top seperti Aave yang secara bawah sadar sangat sulit bermasalah bagi retail juga terkena dampaknya secara tidak langsung, ke mana lagi pengguna dapat memindahkan dananya?

Secara pribadi, saat ini memang tidak terlalu disarankan pengguna menyimpan dana besar di on-chain, jika memang ada kebutuhan, harap pastikan untuk melakukan dispersi dan isolasi posisi.

Hingga terbitnya artikel ini, banyak detail tentang peristiwa ini masih belum jelas, Odaily akan terus mengikuti perkembangan peristiwa, harap tetap mengikuti.

Pertanyaan Terkait

QApa yang terjadi dengan Kelp DAO pada 19 April dan berapa kerugian yang dialami?

APada 19 April, Kelp DAO, protokol staking likuiditas terbesar kedua, mengalami serangan pada kontrak bridge rsETH berbasis LayerZero. Kerugian diperkirakan mencapai 116.500 rsETH, senilai sekitar $292 juta.

QBagaimana penyerang berhasil mengeksekusi serangan terhadap Kelp DAO?

APenyerang menerima dana awal 1 ETH dari Tornado Cash sekitar 10 jam sebelum serangan, lalu memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, yang memicu transfer rsETH ke alamat penyerang lain.

QMengapa protokol Aave terlibat dalam insiden ini dan apa tindakan yang mereka ambil?

APeretas menggunakan rsETH yang dicuri sebagai jaminan di Aave untuk meminjam WETH yang lebih likuid. Aave membekukan pasar rsETH di V3 dan V4 mereka untuk mencegah deposit dan pinjaman baru sambil mengevaluasi situasi.

QApa potensi dampak kerugian (bad debt) pada Aave akibat serangan ini?

AMeski belum jelas jumlah pastinya, analis memperkirakan kerugian bisa mencapai lebih dari $100 juta jika rsETH terdepresiasi 19%. Aave memiliki modul keamanan Umbrella dengan sekitar $50 juta WETH untuk menutupi kerugian potensial.

QApa yang disarankan bagi pengguna DeFi menyusul insiden keamanan ini?

APengguna disarankan untuk tidak menyimpan dana besar di on-chain dan melakukan diversifikasi serta isolasi portofolio untuk mengurangi risiko, mengingat bahkan protokol terkemuka seperti Aave dapat terdampak.

Bacaan Terkait

Dari Aluminium ke Bitcoin: Alcoa Akan Menjual Pabrik yang Tidak Aktif kepada NYDIG

Alcoa sedang dalam pembicaraan lanjut dengan NYDIG untuk menjual pabrik peleburan aluminium yang tidak aktif di Massena, New York. Pabrik ini telah ditutup sejak 2014 karena biaya energi tinggi dan persaingan global. NYDIG, yang sudah memiliki kepemilikan di perusahaan penambangan Bitcoin Coinmint di lokasi tersebut, tertarik dengan infrastruktur listrik yang sudah ada, termasuk substasiun dan koneksi jaringan yang dapat menangani beban daya besar. Situs ini juga memanfaatkan pasokan listrik tenaga air dari Otoritas Listrik New York, yang mengurangi biaya dan jejak karbon. Transaksi ini, yang diharapkan selesai pada pertengahan 2026, mencerminkan tren di mana bekas lokasi industri berat diambil alih oleh perusahaan yang membutuhkan daya dan ruang dengan cepat. Sementara banyak penambang beralih ke layanan AI dan cloud, NYDIG justru fokus pada Bitcoin. Langkah ini sejalan dengan akuisisi mereka tahun lalu terhadap operasi penambangan Crusoe Energy.

bitcoinist9m yang lalu

Dari Aluminium ke Bitcoin: Alcoa Akan Menjual Pabrik yang Tidak Aktif kepada NYDIG

bitcoinist9m yang lalu

Regulasi Kripto: Parlemen Polandia Gagal Membatalkan Veto Presiden Kembali

Parlemen Polandia kembali gagal membatalkan veto presiden Karol Narcowski terhadap RUU Pasar Aset Kripto. Upaya override kedua ini kandas karena hanya meraih 191 suara dukungan, jauh dari ambang batas konstitusional 263 suara. Presiden beralasan aturan tersebut berpotensi membebani UMKM dan mengancam kebebasan warga. Menteri Keuangan Andrzej Domański mengkritik veto ini, menyoroti risiko penipuan dan lemahnya perlindungan investor tanpa regulasi yang jelas. Perdana Menteri Donald Tusk menuding bursa kripto terbesar Polandia, Zondacrypto, yang melobi penolakan RUU, memiliki kaitan dengan mafia Rusia. Menteri Dalam Negeri menegaskan pemerintah akan terus memperjuangkan RUU ini demi melindungi negara dari ancaman keamanan.

bitcoinist2j yang lalu

Regulasi Kripto: Parlemen Polandia Gagal Membatalkan Veto Presiden Kembali

bitcoinist2j yang lalu

Kejutan Penipuan Kripto Hong Kong: Wanita Kehilangan Hampir $1 Juta Seiring Penipuan AI Meningkat

Penipuan kripto yang melibatkan AI meningkat di Hong Kong, dengan seorang wanita kehilangan hampir $1 juta setelah tertipu platform investasi palsu. Korban melakukan 17 transfer USDT dan Ethereum setelah dihubungi melalui Telegram oleh seseorang yang mengaku ahli investasi dengan strategi perdagangan berbasis AI. Polisi melaporkan lebih dari 80 kasus serupa dalam satu minggu, dengan total kerugian mencapai $10 juta. Jenis penipuan termasuk deepfake, kloning suara, dan serangan BEC berbasis AI. Polisi mendorong masyarakat untuk memverifikasi situs investasi melalui platform CyberDefender dan mengingatkan bahwa tidak ada investasi sah yang menjamin keuntungan.

bitcoinist6j yang lalu

Kejutan Penipuan Kripto Hong Kong: Wanita Kehilangan Hampir $1 Juta Seiring Penipuan AI Meningkat

bitcoinist6j yang lalu

a16z Artikel Baru: Pasar Prediksi, Masuk ke Tahap Percepatan

Ringkasan: Pasar prediksi, yang sebelumnya dianggap sebagai produk "pinggiran" untuk acara seperti pemilu dan olahraga, kini berkembang menjadi infrastruktur keuangan yang memberikan harga pada ketidakpastian. Perubahan kunci terjadi dalam tiga aspek: perluasan skenario aplikasi (dari olahraga ke hiburan, makroekonomi, CPI), penyediaan harga acuan yang dapat diperdagangkan untuk peristiwa dunia nyata, dan adopsi institusional yang bertahap. Platform seperti Kalshi memungkinkan lindung nilai risiko politik dan makro secara langsung, bukan melalui aset terkait. Meski adopsi institusi masih dalam tahap awal (akses data, integrasi sistem, kemudian perdagangan), pasar prediksi diperkirakan akan menjadi alat inti untuk lindung nilai dalam lima tahun ke depan, mirip dengan evolusi pasar opsi di masa lalu.

marsbit8j yang lalu

a16z Artikel Baru: Pasar Prediksi, Masuk ke Tahap Percepatan

marsbit8j yang lalu

Presiden Kirgizstan Bertemu Justin Sun, TRON Berkolaborasi dengan Kirgizstan untuk Membangun Lanskap Baru Ekonomi Digital Asia Tengah

Presiden Kyrgyzstan, Sadyr Japarov, bertemu dengan pendiri TRON, Justin Sun, di Bishkek untuk membahas kerja sama dalam transformasi keuangan digital dan pengembangan aset virtual. Pertemuan ini menandai langkah strategis pertama TRON di Asia Tengah. Presiden Japarov menekankan visi menjadikan Kyrgyzstan sebagai pusat regional untuk aset virtual dan teknologi Web3, sejalan dengan keunggulan TRON dalam infrastruktur stablecoin dan blockchain. Sun menyatakan komitmen TRON untuk mendukung visi ini melalui proyek-proyek nyata. Japarov juga menyoroti kemajuan Komite Nasional untuk Pengembangan Aset Virtual dan Teknologi Blockchain, termasuk potensi penerbitan stablecoin nasional, pengujian CBDC, dan kerangka regulasi. Kebijakan terbuka Kyrgyzstan telah menarik minat perusahaan teknologi global, dengan kunjungan Sun menjadi bukti meningkatnya perhatian internasional.

marsbit8j yang lalu

Presiden Kirgizstan Bertemu Justin Sun, TRON Berkolaborasi dengan Kirgizstan untuk Membangun Lanskap Baru Ekonomi Digital Asia Tengah

marsbit8j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow