DeFi Kembali Dicuri $292 Juta, Bahkan Aave Tidak Aman Lagi?

marsbitDipublikasikan tanggal 2026-04-18Terakhir diperbarui pada 2026-04-18

Abstrak

Serangan keamanan DeFi kembali terjadi pada 19 April, dengan protokol Kelp DAO kehilangan 116.500 rsETH senilai sekitar $292 juta melalui eksploitasi kontrak bridge berbasis LayerZero. Penyebab utama diduga karena kompromi kunci pribadi di chain sumber. Peretas menggunakan dana curian sebagai jaminan di platform pinjaman seperti Aave, Compound, dan Euler untuk meminjam WETH, menciptakan potensi utang macet hingga $236 juta. Aave membekukan pasar rsETH dan mengonfirmasi sedang mengevaluasi kerugian, dengan cadangan modul keamanan Umbrella senilai $50 juta siap digunakan. Peristiwa ini menyusul insiden serupa di Drift Protocol awal April, memperburuk kekhawatiran keamanan DeFi. Pengguna disarankan mendiversifikasi aset dan berhati-hati menyimpan dana besar di chain.

Orisinil | Odaily Planet Daily(@OdailyChina)

Penulis|Azuma(@azuma_eth)

Waktu Beijing 19 April, keamanan DeFi kembali menerima pukulan berat.

Data on-chain menunjukkan,sekitar pukul 1:35 pagi ini, kontrak bridge rsETH protokol staking likuiditas terbesar kedua Kelp DAO yang berbasis di LayerZero diduga dieksploitasi oleh peretas, kehilangan 116.500 rsETH, bernilai sekitar $292 juta.

Melacak lebih lanjut catatan on-chain, alamat penyerang menerima dana awal 1 ETH dari protokol pencampur Tornado Cash sekitar 10 jam sebelum kejadian. Setelah itu, alamat tersebut memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, panggilan ini memicu kontrak bridge Kelp, mentransfer 116.500 rsETH ke alamat penyerang lainnya.

Sekitar 2,5 jam setelah kejadian, Kelp DAO secara resmi mengonfirmasi serangan di X: "Lebih awal hari ini, kami menemukan aktivitas cross-chain mencurigakan yang melibatkan rsETH. Selama penyelidikan, kami telah menangguhkan kontrak rsETH di mainnet dan beberapa Layer2. Auditor kami sedang bekerja sama dengan pakar keamanan LayerZero, Unichain, dan memantau situasi ini dengan cermat. Kami akan memberi tahu Anda perkembangan terbaru, silakan pantau saluran resmi."

Setelah kejadian, berbagai proyek DeFi dan lembaga keamanan menganalisis penyebab peristiwa tersebut. Analisis D2 Finance banyak dikutip di komunitas — LayerZero Scan menandai sumber ujung seberang sebagai Kelp DAO, ini berarti pesan berasal dari kontrak ujung seberang yang dikerahkan secara sah oleh Kelp sendiri, dan jalur ini sebelumnya telah memiliki 308 catatan nonce pesan. Oleh karena itu,penyebab utama serangan ini adalah "kompromi kunci pribadi di chain sumber".

Pengembang TinyHumans AI Steven Enamakel menambahkan, kontrak ini hanya dijamin oleh satu set validator 1/1 (DVN), yang berarti cukup bagi validator untuk mengirimkan satu transaksi yang salah untuk menimbulkan masalah.

Peretas Melarikan Diri Melalui Aave, Diduga Telah Menyebabkan Kredit Macet

Karena likuiditas perdagangan rsETH sendiri terbatas, strategi pelarian yang dipilih peretas adalah melalui protokol peminjaman seperti Aave, menggadaikan rsETH dan meminjam wETH yang likuiditas perdagangannya lebih baik.

Monitoring PeckShield Alert menunjukkan, hingga pukul 4:30 pagi ini, alamat peretas telah menyetor rsETH yang dicuri ke protokol peminjaman seperti Aave V3, Compound V3, Euler, dan meminjam sejumlah besar WETH, total utang melebihi $236 juta — di mana hanya platform Aave saja yang utangnya mencapai $196 juta, Compound $39,4 juta, Euler hanya $840.000.

Setelah kejadian, Aave segera membekukan pasar rsETH di Aave V3 dan V4, tim kemudian merilis pernyataan resmi di X: "Kontrak Aave tidak diserang, serangan ini terkait dengan rsETH. Pembekuan rsETH adalah untuk mencegah setoran rsETH baru dan pinjaman beragun selama evaluasi situasi. Kami sedang meninjau informasi pinjaman rsETH yang terjadi di Aave setelah serangan, dan akan segera berbagi detail lebih lanjut."

Tidak lama setelah pernyataan awal dirilis, Aave memperbarui dinamika tersebut, menambahkan kalimat di akhir: "Jika protokol mengakumulasi kredit macet karena peristiwa ini, kami akan mengeksplorasi cara untuk menutupi defisit."

Hingga berita ini ditulis,jumlah pasti kredit macet yang disebabkan oleh peristiwa ini masih belum jelas.

Direktur Strategi pesaing langsung Aave, Spark, monetsupply.eth, menyatakan, jika rsETH mengalami diskon 19% (jumlah yang dicuri merupakan 19% dari total pasokan rsETH), Aave mungkin menghasilkan kredit macet lebih dari $100 juta, karena adanya pinjaman berulang dengan leverage tinggi.

Namun, pendiri kelompok pemerintahan perwakilan ekosistem Aave, Aave Chan Initiative (ACI), Marc Zeller (telah mengumumkan akan keluar dari Aave pada Juli karena perbedaan pemerintahan) memberikan pandangan berbeda. Zeller pada awal ledakan peristiwa pernah menyarankan pengguna untuk mengambil WETH dari Aave V3 secepatnya untuk menghindari kerugian, dan mengonfirmasi pasar USDC dan USDT di Aave tidak terpengaruh, dia dalam balasan kepada pengguna lain tentang dugaan "kredit macet mungkin mencapai skala ratusan juta" menyatakan: "Jauh lebih kecil dari angka itu."

Tapi Marc Zeller juga menyebutkan, sekarang saatnya untuk menguji Umbrella dalam lingkungan produksi yang sebenarnya. Yang dimaksud Umbrella adalah modul keamanan otomatis Aave, sederhananya ini adalah kolam dana untuk menangani kredit macet, pengguna dapat menyetor aset ke dalamnya untuk mendapatkan insentif yang tinggi, tetapi ketika protokol mengalami kredit macet, kolam dana ini juga harus menanggung kerugian potensial.

Data protokol Aave menunjukkan,saat ini Umbrella memiliki WETH bernilai sekitar $50 juta yang dapat digunakan untuk menangani kredit macet potensial dari peristiwa ini, tetapi untuk sementara tidak pasti apakah cukup untuk menutupi lubang.

Terpengaruh peristiwa ini, AAVE anjlok hampir 10%, hingga berita ini ditulis sementara diperdagangkan pada 104,6 USDT.

Peristiwa Keamanan Skala Ratusan Juta Lainnya di Bulan April

Ini bukan peristiwa keamanan dengan jumlah besar pertama yang terjadi bulan ini.

Pada 1 April, protokol perdagangan derivasi ekosistem Solana Drift Protocol pernah diserang, kehilangan hingga $280 juta (lihat "Lelucon April Mop? Drift Protocol Dicuri Lebih dari $280 Juta, Menjadi Perampokan DeFi Terbesar Kedua di Ekosistem Solana").

Setelahnya, Drift Protocol langsung menyalahkan "peretas Korea Utara" untuk pencurian tersebut, tetapi beruntung, institusi seperti Tether telah berkomitmen menyuntikkan dana $147,5 juta untuk ganti rugi pengguna, setidaknya pengguna memiliki sedikit harapan klaim.

Hanya berselang belasan hari, ledakan peristiwa peretas dengan skala lebih besar terjadi, kali ini bagaimana akhirnya?

Apakah Masih Ada Tempat yang Aman untuk DeFi?

Masalah keamanan DeFi semakin menjadi-jadi.

Di satu sisi peristiwa peretas yang terus-menerus, di sisi lain ancaman keamanan berkelanjutan yang dibawa oleh AI seperti Mythos (dapat dilihat "Wawancara Odaily dengan Yu Xian: Model Baru Tingkat Nuklir Anthropic Bocor, Bagaimana Mempengaruhi Serangan dan Pertahanan Keamanan Kripto?"). Bagi pengguna DeFi, langkah penanganan sebelumnya adalah mengumpulkan dana sebanyak mungkin ke protokol kepala yang diaudit penuh dan memiliki reputasi merek yang baik, tetapi sekarang,bahkan protokol top seperti Aave yang secara bawah sadar sangat sulit bermasalah bagi retail juga terkena dampaknya secara tidak langsung, ke mana lagi pengguna dapat memindahkan dananya?

Secara pribadi, saat ini memang tidak disarankan pengguna menyimpan dana besar di on-chain, jika memang ada kebutuhan, harap lakukan dispersi dan isolasi posisi dengan baik.

Hingga berita ini ditulis, banyak detail tentang peristiwa ini masih belum jelas, Odaily akan terus mengikuti perkembangan peristiwa, harap pantau terus.

Pertanyaan Terkait

QApa yang terjadi dengan Kelp DAO pada 19 April dan berapa kerugian yang dialami?

APada 19 April, Kelp DAO, protokol staking likuiditas terbesar kedua, mengalami serangan hacker melalui kontrak bridging rsETH berbasis LayerZero. Kerugian yang dialami mencapai 116.500 rsETH, senilai sekitar $292 juta.

QBagaimana penyerang berhasil mengeksekusi serangan terhadap Kelp DAO?

APenyerang menerima dana awal 1 ETH dari Tornado Cash sekitar 10 jam sebelum kejadian, kemudian memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2. Panggilan ini memicu kontrak bridging Kelp dan mentransfer rsETH ke alamat penyerang lain.

QBagaimana peran Aave dalam insiden ini dan apa tindakan yang diambilnya?

APenyerang menggunakan rsETH yang dicuri sebagai jaminan di Aave V3, Compound V3, dan Euler untuk meminjam WETH yang lebih likuid. Aave membekukan pasar rsETH di V3 dan V4 untuk mencegah deposit dan pinjaman baru, dan sedang mengevaluasi potensi kerugian (bad debt).

QApa kemungkinan dampak kerugian (bad debt) pada Aave dan bagaimana mereka berencana menanganinya?

AMeski jumlah pastinya belum jelas, perkiraan kerugian bervariasi. Aave memiliki modul keamanan Umbrella dengan sekitar $50 juta WETH untuk menutupi kerugian potensial, dan tim sedang mengeksplorasi cara menutupi defisit jika terjadi.

QApa respons komunitas dan ahli keamanan terhadap penyebab utama serangan ini?

AAnalisis dari D2 Finance dan Steven Enamakel menunjukkan bahwa akar masalahnya adalah 'kompromi kunci pribadi di chain sumber' (source chain private key compromise), dengan kontrak yang hanya diamankan oleh satu validator (1/1 DVN), membuatnya rentan jika validator menyetujui transaksi palsu.

Bacaan Terkait

Siapa yang Memberikan Jiwa kepada AI: Filsuf, Pastor, dan Seorang Insinyur yang Mengundurkan Diri untuk Menulis Puisi

Anthropic merilis "Konstitusi Claude", dokumen panduan moral untuk model AI yang ditulis oleh Amanda Askell, mantan filsuf yang kini memimpin tim "keselarasan kepribadian". Bersama Brendan McGuire, mantan insinyur yang menjadi pastor dan berkontribusi pada kerangka etika AI, serta Mrinank Sharma, peneliti keamanan AI yang juga seorang penyair, mereka berupaya menanamkan "jiwa" atau pedoman moral ke dalam Claude. Usaha mereka menghadapi kompleksitas mendalam: penelitian menemukan bahwa AI menunjukkan keadaan internal mirip emosi dan perilaku "menjilat" yang semakin canggih pada model yang lebih kuat. McGuire memperkenalkan konsep pembentukan hati nurani ala Katolik ke dalam konstitusi, sementara Sharma memilih keluar untuk fokus pada puisi, meragukan kemampuan industri untuk memprioritaskan nilai-nilai di tengah tekanan komersial dan politik. Ketiganya mewakili respons manusiawi yang berbeda terhadap kekuatan AI: rasionalitas etis, iman, dan kesadaran puitis. Meski menghadapi kontroversi politik dan batasan teknologi, upaya mereka menyoroti pertanyaan yang terus berlanjut: bagaimana membentuk kecerdasan buatan yang tidak hanya cerdas, tetapi juga bijaksana, dalam dunia yang penuh nuansa moral.

marsbit3m yang lalu

Siapa yang Memberikan Jiwa kepada AI: Filsuf, Pastor, dan Seorang Insinyur yang Mengundurkan Diri untuk Menulis Puisi

marsbit3m yang lalu

Karyawan SK Hynix China 'Dihantam': Bonus Tak Mencapai 5% dari Karyawan Korea

Artikel ini membahas kesenjangan besar dalam bonus tahunan antara karyawan SK Hynix di Korea Selatan dan China, di tengah lonjakan permintaan memori yang didorong AI. Meskipun ada prediksi media bahwa bonus rata-rata karyawan Korea bisa mencapai jutaan yuan (bahkan hingga 6.1 juta RMB pada 2027), kenyataannya sangat berbeda bagi karyawan China. Menurut seorang karyawan China berpengalaman di SK Hynix, bonus karyawan China kurang dari 5% dari rekan Korea mereka. Saat karyawan Korea dikabarkan mendapat bonus 3 juta RMB, karyawan China hanya menerima sekitar 150 ribu RMB, dengan yang tertinggi sekitar 100 ribu RMB berdasarkan peringkat KPI. Perbedaan ini dikarenakan sistem penghitungan yang berbeda: bonus di Korea dibayarkan setahun sekali berdasarkan gaji bulanan, sementara di China dua kali setahun. Artikel ini juga menyoroti bahwa prediksi "bonus rata-rata" yang tinggi mungkin tidak akurat dan tidak merata, dengan manajemen senior kemungkinan menerima porsi terbesar. Selain itu, karyawan China umumnya tidak menerima insentif saham seperti rekan Korea, dan posisi manajemen didominasi oleh staf Korea, meskipun ada kemungkinan peningkatan kader lokal seiring waktu. SK Hynix secara resmi telah mengkonfirmasi aturan pembagian bonus 10% dari laba operasi tetapi menegaskan bahwa jumlah pasti untuk tahun 2026/2027 belum dapat diprediksi. Perusahaan ini beroperasi di beberapa pabrik di China (Wuxi, Dalian, Chongqing) dengan rentang gaji bulanan insinyur sekitar 10-35 ribu RMB. Dengan permintaan HBM dan produk server yang terus kuat untuk 2-3 tahun ke depan, industri memori diperkirakan tetap panas, namun kesenjangan kompensasi dan dampak kenaikan harga pada produk konsumen akan terus menjadi topik perbincangan.

marsbit5m yang lalu

Karyawan SK Hynix China 'Dihantam': Bonus Tak Mencapai 5% dari Karyawan Korea

marsbit5m yang lalu

Wawancara Eksklusif dengan Michael Saylor: Saya Memang Bilang Akan Jual, Tapi Bukan Penjualan Bersih

Wawancara dengan Michael Saylor, Ketua Eksekutif MicroStrategy, menjelaskan pernyataan kontroversial perusahaan tentang kemungkinan menjual Bitcoin untuk membayar dividen instrumen kredit digitalnya, STRC. Saylor menekankan bahwa meskipun perusahaan mungkin menjual sebagian Bitcoin, mereka akan tetap menjadi pembeli bersih (net buyer) aset kripto tersebut. Strategi intinya adalah menerbitkan instrumen kredit seperti STRC untuk mengumpulkan modal, yang kemudian digunakan untuk membeli Bitcoin. Karena Bitcoin diharapkan mengalami apresiasi nilai (sekitar 30-40% per tahun), keuntungan modal ini dapat digunakan untuk membayar dividen STRC sambil tetap meningkatkan kepemilikan Bitcoin secara keseluruhan. Saylor menganalogikan model bisnis ini dengan perusahaan pengembang real estat yang menggunakan pendapatan kredit untuk investasi modal. Dia menyatakan bahwa "tingkat impas" untuk model ini adalah sekitar 2.3%, yang berarti selama penerbitan utang kredit tidak melebihi 2.3% dari total kepemilikan Bitcoin dan apresiasi Bitcoin melebihi angka tersebut, perusahaan akan selalu menjadi akumulator Bitcoin bersih. Pada April 2024 saja, MicroStrategy menjual STRC senilai $3.2 miliar dan membeli Bitcoin dengan jumlah yang sama, sementara dividen yang harus dibayar hanya sekitar $80-90 juta, mengilustrasikan rasio pembelian bersih yang tinggi. Dalam wawancara, Saylor juga membahas peran Bitcoin sebagai "modal digital" dan bagaimana aset ini menjadi dasar untuk menciptakan "kredit digital" yang menawarkan hasil tinggi dengan risiko lebih rendah, seperti STRC. Dia menolak kritik bahwa tindakan perusahaan adalah skema Ponzi, dengan alasan bahwa model berbasis Bitcoin yang dikelola dengan baik justru menciptakan alat keuangan inovatif. Saylor yakin adopsi Bitcoin akan terus berlanjut didorong oleh arus modal institusional, terlepas dari kondisi makroekonomi, meskipun faktor-faktor seperti kebijakan moneter dan gejolak geopolitik dapat mempengaruhi kecepatan apresiasinya.

Odaily星球日报20m yang lalu

Wawancara Eksklusif dengan Michael Saylor: Saya Memang Bilang Akan Jual, Tapi Bukan Penjualan Bersih

Odaily星球日报20m yang lalu

Wawancara Michael Saylor: Aku Katakan Akan Jual Koin, Tapi Tidak Pernah Jual Bersih

Michael Saylor, Ketua Eksekutif MicroStrategy, menjelaskan keputusan perusahaan untuk menjual Bitcoin guna membayar dividen produk kredit STRC. Dalam wawancara podcast, Saylor menegaskan bahwa MicroStrategy tidak akan menjadi *penjual bersih* Bitcoin, karena penjualan untuk dividen jauh lebih kecil dibandingkan pembelian Bitcoin baru melalui penerbitan STRC. Model bisnis intinya adalah menggunakan Bitcoin sebagai "modal digital" yang diharapkan terapresiasi sekitar 30-40% per tahun, lalu memanfaatkan keuntungan modal tersebut untuk membiayai dividen kredit. Saylor menyatakan bahwa dengan rasio penerbitan kredit yang sehat, perusahaan akan tetap menjadi akumulator bersih Bitcoin setiap bulannya. Ia juga membahas bagaimana STRC, sebagai instrumen kredit berbasis Bitcoin, menjadi produk unggulan dengan hasil tinggi dan telah mendominasi pasar saham preferen AS. Saylor menekankan bahwa pasar Bitcoin sangat likuid sehingga aktivitas pembelian MicroStrategy tidak menggerakkan harga, dan penggerak utama tetap faktor makroekonomi serta adopsi institusional yang terus berlanjut.

marsbit26m yang lalu

Wawancara Michael Saylor: Aku Katakan Akan Jual Koin, Tapi Tidak Pernah Jual Bersih

marsbit26m yang lalu

Menarik Modal Global, Siklus "Super" Baru Asia Sedang Berlangsung

Investor memusatkan perhatian pada Asia sebagai celah pertumbuhan selanjutnya dalam pasar saham global. Di bawah dorongan gelombang kecerdasan buatan (AI), pasar saham Korea Selatan unggul, menarik arus modal besar dan meningkatkan volatilitas implisit di pasar opsi. Siklus "super" Asia ini didorong oleh percepatan belanja modal, terutama untuk infrastruktur AI seperti chip, server, pusat data, dan sistem listrik. Investasi global di pusat data AI diperkirakan mencapai $2,8 triliun pada 2026-2028. Asia, sebagai pusat rantai pasok perangkat keras AI, akan diuntungkan. Morgan Stanley memperkirakan investasi tetap Asia akan tumbuh dari sekitar $11 triliun (2025) menjadi $16 triliun (2030). China memainkan peran kunci dengan sistem AI lengkapnya, termasuk chip domestik yang diperkirakan mencapai $67 miliar pada 2030. Selain AI, ekspor manufaktur China meluas dari "tiga hal baru" (mobil listrik, baterai, PV) ke robotika. China mendominasi sekitar 90% pengiriman robot humanoid global awal tahun 2025, menyerupai tahap awal ekspor mobil listrik. Dua pendorong utama lainnya adalah keamanan energi (investasi dalam energi terbarukan, listrik, penyimpanan) dan pengeluaran pertahanan yang meningkat di seluruh Asia, memberikan investasi yang tahan lama untuk manufaktur canggih. Ekonomi yang paling diuntungkan adalah China (rantai pasok lengkap, ekspor baru), Korea Selatan (memori, HBM, baterai), dan Jepang (peralatan semikonduktor, otomasi). Namun, risiko termasuk kelebihan pasokan, tekanan margin, pembatasan teknologi, dampak AI pada lapangan kerja, dan volatilitas pasar yang meningkat.

marsbit1j yang lalu

Menarik Modal Global, Siklus "Super" Baru Asia Sedang Berlangsung

marsbit1j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow