DeFi Kembali Dicuri $292 Juta, Bahkan Aave Tidak Aman Lagi?

marsbitDipublikasikan tanggal 2026-04-18Terakhir diperbarui pada 2026-04-18

Abstrak

Serangan keamanan DeFi kembali terjadi pada 19 April, dengan protokol Kelp DAO kehilangan 116.500 rsETH senilai sekitar $292 juta melalui eksploitasi kontrak bridge berbasis LayerZero. Penyebab utama diduga karena kompromi kunci pribadi di chain sumber. Peretas menggunakan dana curian sebagai jaminan di platform pinjaman seperti Aave, Compound, dan Euler untuk meminjam WETH, menciptakan potensi utang macet hingga $236 juta. Aave membekukan pasar rsETH dan mengonfirmasi sedang mengevaluasi kerugian, dengan cadangan modul keamanan Umbrella senilai $50 juta siap digunakan. Peristiwa ini menyusul insiden serupa di Drift Protocol awal April, memperburuk kekhawatiran keamanan DeFi. Pengguna disarankan mendiversifikasi aset dan berhati-hati menyimpan dana besar di chain.

Orisinil | Odaily Planet Daily(@OdailyChina)

Penulis|Azuma(@azuma_eth)

Waktu Beijing 19 April, keamanan DeFi kembali menerima pukulan berat.

Data on-chain menunjukkan,sekitar pukul 1:35 pagi ini, kontrak bridge rsETH protokol staking likuiditas terbesar kedua Kelp DAO yang berbasis di LayerZero diduga dieksploitasi oleh peretas, kehilangan 116.500 rsETH, bernilai sekitar $292 juta.

Melacak lebih lanjut catatan on-chain, alamat penyerang menerima dana awal 1 ETH dari protokol pencampur Tornado Cash sekitar 10 jam sebelum kejadian. Setelah itu, alamat tersebut memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, panggilan ini memicu kontrak bridge Kelp, mentransfer 116.500 rsETH ke alamat penyerang lainnya.

Sekitar 2,5 jam setelah kejadian, Kelp DAO secara resmi mengonfirmasi serangan di X: "Lebih awal hari ini, kami menemukan aktivitas cross-chain mencurigakan yang melibatkan rsETH. Selama penyelidikan, kami telah menangguhkan kontrak rsETH di mainnet dan beberapa Layer2. Auditor kami sedang bekerja sama dengan pakar keamanan LayerZero, Unichain, dan memantau situasi ini dengan cermat. Kami akan memberi tahu Anda perkembangan terbaru, silakan pantau saluran resmi."

Setelah kejadian, berbagai proyek DeFi dan lembaga keamanan menganalisis penyebab peristiwa tersebut. Analisis D2 Finance banyak dikutip di komunitas — LayerZero Scan menandai sumber ujung seberang sebagai Kelp DAO, ini berarti pesan berasal dari kontrak ujung seberang yang dikerahkan secara sah oleh Kelp sendiri, dan jalur ini sebelumnya telah memiliki 308 catatan nonce pesan. Oleh karena itu,penyebab utama serangan ini adalah "kompromi kunci pribadi di chain sumber".

Pengembang TinyHumans AI Steven Enamakel menambahkan, kontrak ini hanya dijamin oleh satu set validator 1/1 (DVN), yang berarti cukup bagi validator untuk mengirimkan satu transaksi yang salah untuk menimbulkan masalah.

Peretas Melarikan Diri Melalui Aave, Diduga Telah Menyebabkan Kredit Macet

Karena likuiditas perdagangan rsETH sendiri terbatas, strategi pelarian yang dipilih peretas adalah melalui protokol peminjaman seperti Aave, menggadaikan rsETH dan meminjam wETH yang likuiditas perdagangannya lebih baik.

Monitoring PeckShield Alert menunjukkan, hingga pukul 4:30 pagi ini, alamat peretas telah menyetor rsETH yang dicuri ke protokol peminjaman seperti Aave V3, Compound V3, Euler, dan meminjam sejumlah besar WETH, total utang melebihi $236 juta — di mana hanya platform Aave saja yang utangnya mencapai $196 juta, Compound $39,4 juta, Euler hanya $840.000.

Setelah kejadian, Aave segera membekukan pasar rsETH di Aave V3 dan V4, tim kemudian merilis pernyataan resmi di X: "Kontrak Aave tidak diserang, serangan ini terkait dengan rsETH. Pembekuan rsETH adalah untuk mencegah setoran rsETH baru dan pinjaman beragun selama evaluasi situasi. Kami sedang meninjau informasi pinjaman rsETH yang terjadi di Aave setelah serangan, dan akan segera berbagi detail lebih lanjut."

Tidak lama setelah pernyataan awal dirilis, Aave memperbarui dinamika tersebut, menambahkan kalimat di akhir: "Jika protokol mengakumulasi kredit macet karena peristiwa ini, kami akan mengeksplorasi cara untuk menutupi defisit."

Hingga berita ini ditulis,jumlah pasti kredit macet yang disebabkan oleh peristiwa ini masih belum jelas.

Direktur Strategi pesaing langsung Aave, Spark, monetsupply.eth, menyatakan, jika rsETH mengalami diskon 19% (jumlah yang dicuri merupakan 19% dari total pasokan rsETH), Aave mungkin menghasilkan kredit macet lebih dari $100 juta, karena adanya pinjaman berulang dengan leverage tinggi.

Namun, pendiri kelompok pemerintahan perwakilan ekosistem Aave, Aave Chan Initiative (ACI), Marc Zeller (telah mengumumkan akan keluar dari Aave pada Juli karena perbedaan pemerintahan) memberikan pandangan berbeda. Zeller pada awal ledakan peristiwa pernah menyarankan pengguna untuk mengambil WETH dari Aave V3 secepatnya untuk menghindari kerugian, dan mengonfirmasi pasar USDC dan USDT di Aave tidak terpengaruh, dia dalam balasan kepada pengguna lain tentang dugaan "kredit macet mungkin mencapai skala ratusan juta" menyatakan: "Jauh lebih kecil dari angka itu."

Tapi Marc Zeller juga menyebutkan, sekarang saatnya untuk menguji Umbrella dalam lingkungan produksi yang sebenarnya. Yang dimaksud Umbrella adalah modul keamanan otomatis Aave, sederhananya ini adalah kolam dana untuk menangani kredit macet, pengguna dapat menyetor aset ke dalamnya untuk mendapatkan insentif yang tinggi, tetapi ketika protokol mengalami kredit macet, kolam dana ini juga harus menanggung kerugian potensial.

Data protokol Aave menunjukkan,saat ini Umbrella memiliki WETH bernilai sekitar $50 juta yang dapat digunakan untuk menangani kredit macet potensial dari peristiwa ini, tetapi untuk sementara tidak pasti apakah cukup untuk menutupi lubang.

Terpengaruh peristiwa ini, AAVE anjlok hampir 10%, hingga berita ini ditulis sementara diperdagangkan pada 104,6 USDT.

Peristiwa Keamanan Skala Ratusan Juta Lainnya di Bulan April

Ini bukan peristiwa keamanan dengan jumlah besar pertama yang terjadi bulan ini.

Pada 1 April, protokol perdagangan derivasi ekosistem Solana Drift Protocol pernah diserang, kehilangan hingga $280 juta (lihat "Lelucon April Mop? Drift Protocol Dicuri Lebih dari $280 Juta, Menjadi Perampokan DeFi Terbesar Kedua di Ekosistem Solana").

Setelahnya, Drift Protocol langsung menyalahkan "peretas Korea Utara" untuk pencurian tersebut, tetapi beruntung, institusi seperti Tether telah berkomitmen menyuntikkan dana $147,5 juta untuk ganti rugi pengguna, setidaknya pengguna memiliki sedikit harapan klaim.

Hanya berselang belasan hari, ledakan peristiwa peretas dengan skala lebih besar terjadi, kali ini bagaimana akhirnya?

Apakah Masih Ada Tempat yang Aman untuk DeFi?

Masalah keamanan DeFi semakin menjadi-jadi.

Di satu sisi peristiwa peretas yang terus-menerus, di sisi lain ancaman keamanan berkelanjutan yang dibawa oleh AI seperti Mythos (dapat dilihat "Wawancara Odaily dengan Yu Xian: Model Baru Tingkat Nuklir Anthropic Bocor, Bagaimana Mempengaruhi Serangan dan Pertahanan Keamanan Kripto?"). Bagi pengguna DeFi, langkah penanganan sebelumnya adalah mengumpulkan dana sebanyak mungkin ke protokol kepala yang diaudit penuh dan memiliki reputasi merek yang baik, tetapi sekarang,bahkan protokol top seperti Aave yang secara bawah sadar sangat sulit bermasalah bagi retail juga terkena dampaknya secara tidak langsung, ke mana lagi pengguna dapat memindahkan dananya?

Secara pribadi, saat ini memang tidak disarankan pengguna menyimpan dana besar di on-chain, jika memang ada kebutuhan, harap lakukan dispersi dan isolasi posisi dengan baik.

Hingga berita ini ditulis, banyak detail tentang peristiwa ini masih belum jelas, Odaily akan terus mengikuti perkembangan peristiwa, harap pantau terus.

Pertanyaan Terkait

QApa yang terjadi dengan Kelp DAO pada 19 April dan berapa kerugian yang dialami?

APada 19 April, Kelp DAO, protokol staking likuiditas terbesar kedua, mengalami serangan hacker melalui kontrak bridging rsETH berbasis LayerZero. Kerugian yang dialami mencapai 116.500 rsETH, senilai sekitar $292 juta.

QBagaimana penyerang berhasil mengeksekusi serangan terhadap Kelp DAO?

APenyerang menerima dana awal 1 ETH dari Tornado Cash sekitar 10 jam sebelum kejadian, kemudian memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2. Panggilan ini memicu kontrak bridging Kelp dan mentransfer rsETH ke alamat penyerang lain.

QBagaimana peran Aave dalam insiden ini dan apa tindakan yang diambilnya?

APenyerang menggunakan rsETH yang dicuri sebagai jaminan di Aave V3, Compound V3, dan Euler untuk meminjam WETH yang lebih likuid. Aave membekukan pasar rsETH di V3 dan V4 untuk mencegah deposit dan pinjaman baru, dan sedang mengevaluasi potensi kerugian (bad debt).

QApa kemungkinan dampak kerugian (bad debt) pada Aave dan bagaimana mereka berencana menanganinya?

AMeski jumlah pastinya belum jelas, perkiraan kerugian bervariasi. Aave memiliki modul keamanan Umbrella dengan sekitar $50 juta WETH untuk menutupi kerugian potensial, dan tim sedang mengeksplorasi cara menutupi defisit jika terjadi.

QApa respons komunitas dan ahli keamanan terhadap penyebab utama serangan ini?

AAnalisis dari D2 Finance dan Steven Enamakel menunjukkan bahwa akar masalahnya adalah 'kompromi kunci pribadi di chain sumber' (source chain private key compromise), dengan kontrak yang hanya diamankan oleh satu validator (1/1 DVN), membuatnya rentan jika validator menyetujui transaksi palsu.

Bacaan Terkait

Tagihan AI Inference Melonjak, Shopify dan Roblox Peringatkan: Uang yang Dihasilkan dari PHK Tak Cukup Bayar Biaya Chip

Judul: Tagihan AI Meningkat Tajam, Shopify & Roblox Peringatkan: Penghematan dari PHK Tak Cukup Bayar Biaya Chip Musim laporan keuangan Q1 2026 mengungkap paradoks baru: sementara AI membantu membekukan perekrutan dan mengurangi posisi kerja, konsumsi Token dan depresiasi GPU-nya justru menggerus margin laba. Shopify mengakui biaya LLM menekan margin langganannya, sementara sekitar seperempat penurunan panduan margin tahunan Roblox langsung disebabkan oleh investasi AI tambahan. Empat raksasa teknologi (Amazon, Meta, Microsoft, Google) diproyeksikan menghabiskan $725 miliar untuk belanja modal AI tahun 2026, naik 77%. Shopify melaporkan bahwa AI kini menangani >50% penulisan kode, tetapi biaya infrastruktur cloud (termasuk penggunaan AI) meningkat $22 juta. Penggunaan asisten AI Sidekick meledak, mendorong tagihan inferensi. Sementara itu, Roblox menjalankan >400 model AI dan mengalokasikan peningkatan biaya untuk AI. Mereka berencana mengenakan biaya untuk fitur AI canggih seperti "Roblox Reality". Analis membandingkan pengeluaran besar ini dengan penghematan upah. Misalnya, penghematan dari PHK 8.000 karyawan Meta (~$2,4 miliar) hanya dapat mengimbangi sekitar 12% dari beban depresiasi AI tahun 2026. Penyelarasannya sulit: setiap $1 tekanan finansial dari pengeluaran komputasi AI membutuhkan penghematan biaya tenaga kerja hampir $10. Pemain di lapisan aplikasi seperti SaaS kini terjepit: pendapatan terkait intensitas penggunaan AI, tetapi biaya ditentukan harga model upstream. Meski biaya inferensi model tunggal turun, harga model terdepan stabil atau naik. Shopify dan Roblox merespons dengan mengikat biaya AI lebih dalam ke pengguna/platform atau membuat fitur AI premium berbayar. Kesimpulannya, mengandalkan penghematan PHK saja untuk menutupi tagihan komputasi AI secara matematis tidak mungkin.

marsbit7m yang lalu

Tagihan AI Inference Melonjak, Shopify dan Roblox Peringatkan: Uang yang Dihasilkan dari PHK Tak Cukup Bayar Biaya Chip

marsbit7m yang lalu

Hook Summer Benar-Benar Tiba? sato, Lo0p, FLOOD Meledakkan Narasi Baru Uniswap v4

Artikel dari Odaily Planet Daily membahas kemunculan tren baru "Hook Summer" di ekosistem Ethereum, yang dipicu oleh token seperti sato, Lo0p, dan FLOOD yang dibangun di atas protokol Hook Uniswap v4. Hook di Uniswap v4 berfungsi sebagai kontrak pintar "plugin" yang memungkinkan logika kustom disuntikkan ke dalam pool likuiditas, menciptakan AMM yang dapat diprogram. Artikel ini merangkum empat token utama: 1. **sato**: Memanfaatkan mekanisme kurva untuk mencetak dan membakar token, dengan市值 tertinggi mencapai lebih dari $38 juta. 2. **sat1**: Dikenalkan sebagai "versi optimalisasi sato," namun市值 anjlok setelah hype awal. 3. **Lo0p**: Protokol pinjaman AMM yang memungkinkan pengguna meminjam ETH dengan menggunakan token LO0P sebagai jaminan. 4. **FLOOD**: Mengintegrasikan Aave v3 untuk menghasilkan pendapatan dari cadangan aset pool. Meskipun inovasi Hook ini dapat menarik likuiditas dan pengguna baru ke Uniswap v4 dalam jangka panjang, dan secara fundamental baik untuk UNI, artikel menyimpulkan bahwa dampak langsung pada harga token UNI dalam jangka pendek mungkin terbatas. Hal ini karena token Hook masih eksperimental, rentan terhadap volatilitas, dan adopsi Uniswap v4 (dengan TVL $595 juta) masih perlu berkembang lebih lanjut. Pembaca diingatkan akan risiko tinggi yang terlibat dalam perdagangan aset ini.

marsbit17m yang lalu

Hook Summer Benar-Benar Tiba? sato, Lo0p, FLOOD Meledakkan Narasi Baru Uniswap v4

marsbit17m yang lalu

Hook Summer Benar-Benar Tiba? sato, Lo0p, FLOOD Meledakkan Narasi Baru Uniswap v4

Berdasarkan artikel dari Odaily Planet Daily, kebangkitan token berbasis Hook Uniswap v4 seperti sato, Lo0p, dan FLOOD telah memicu narasi baru di pasar kripto. Token-token ini memanfaatkan mekanisme "Hook" Uniswap v4, yang berfungsi sebagai kontrak pintar plug-in yang memungkinkan logika kustom disuntikkan ke dalam pool likuiditas. Proyek-proyek awal ini menawarkan berbagai pendekatan inovatif: sato menggunakan mekanisme cetak dan bakar yang terkait dengan kurva, Lo0p mengintegrasikan protokol pinjaman AMM untuk meningkatkan efisiensi modal, dan FLOOD secara otomatis menyetorkan aset cadangan ke Aave untuk menghasilkan pendapatan. Meskipun antusiasme pasar telah mendorong kapitalisasi pasar beberapa token ini ke puluhan juta dolar, volatilitasnya tinggi dan beberapa proyek seperti sat1 telah mengalami penurunan signifikan. Keberadaan mereka dianggap sebagai katalis jangka panjang bagi ekosistem Uniswap dan token UNI, karena dapat menarik lebih banyak likuiditas dan pengguna ke V4. Namun, dalam jangka pendek, dampak langsung pada harga UNI diperkirakan terbatas. Adoption Uniswap v4 masih dalam tahap awal, dengan TVL yang saat ini lebih rendah daripada versi sebelumnya. Artikel ini menekankan bahwa token-token ini adalah produk eksperimental awal dan membawa risiko yang tidak diketahui, termasuk potensi bug. Pembaca disarankan untuk berhati-hati dan melakukan penelitian mereka sendiri.

Odaily星球日报28m yang lalu

Hook Summer Benar-Benar Tiba? sato, Lo0p, FLOOD Meledakkan Narasi Baru Uniswap v4

Odaily星球日报28m yang lalu

Panduan Penggunaan AI dari CEO Y-Combinator: Masa Depan Milik Mereka yang Membangun Sistem Berbunga Majemuk

Panduan Penggunaan AI dari CEO Y Combinator: Masa Depan Milik Mereka yang Membangun Sistem Majemuk Ketika banyak orang masih melihat AI sebagai alat obrolan yang lebih pintar, CEO Y Combinator Garry Tan telah mengubahnya menjadi sistem operasi pribadi. Inti produktivitas di era AI telah berubah: model hanyalah mesin, yang benar-benar menghasilkan pertumbuhan majemuk adalah sistem menyeluruh yang dibangun di sekitar pengetahuan, alur kerja, konteks, dan penilaian pribadi. Dalam sistem seperti ini, setiap pertemuan, buku, email, dan koneksi tidak lagi menjadi informasi terisolasi, melainkan terus dimasukkan ke dalam "otak kedua" yang terstruktur. Setiap tugas berulang tidak lagi bergantung pada prompt sementara, tetapi diabstraksi menjadi *skill* yang dapat digunakan kembali dan terus disempurnakan. AI tidak hanya membantu menyelesaikan tugas, tetapi membantu memproduktifkan, mensistemasi, dan menginfrastrukturkan cara kerja pribadi. Kompetisi masa depan mungkin bukan milik mereka yang hanya bisa menggunakan AI, tetapi milik mereka yang dapat melatih sistem AI majemuk di sekitar kehidupan dan pekerjaan nyata mereka. Sistem AI pribadi akan mengingat latar belakang Anda, memahami konteks Anda, mewarisi penilaian Anda, dan menjadi lebih kuat dengan setiap penggunaan. Nilai AI tidak terletak pada apa yang dihasilkan sekali, tetapi pada kemampuannya untuk menjadi sistem saraf yang terus mengakumulasi, menghubungkan, dan meningkatkan. Bagi individu, inilah awal sebenarnya dari "cara kerja asli AI." Tan membagikan contoh konkret: sistem "book mirror" yang menganalisis dan memetakan isi buku ke konteks hidupnya, serta persiapan rapat otomatis yang memanfaatkan basis pengetahuan pribadi berisi 100.000 halaman. Sistem ini dibangun dengan arsitektur "harness tipis, skill tebal, kode tebal," terdiri dari banyak *skill* yang dapat dikombinasikan dan *skill* meta yang dapat membuat *skill* baru. Intinya: masa depan milik individu yang dapat membangun sistem AI majemuk, bukan hanya pengguna alat AI terpusat. Perbedaannya seperti antara menulis buku harian dan memiliki sistem saraf. Semua alat dan kerangka kerja yang dijelaskan telah diopen-source-kan, mengundang siapa saja untuk mulai membangun sistem mereka sendiri.

marsbit43m yang lalu

Panduan Penggunaan AI dari CEO Y-Combinator: Masa Depan Milik Mereka yang Membangun Sistem Berbunga Majemuk

marsbit43m yang lalu

Karyawan SK Hynix di China Terpukul: Bonus Tidak Mencapai 5% dari Karyawan Korea

Sejumlah karyawan SK Hynix di China melaporkan bahwa bonus tahunan yang mereka terima kurang dari 5% dari yang diterima rekan kerja di Korea Selatan. Hal ini terjadi meskipun ada prediksi media bahwa karyawan perusahaan memori Korea itu berpotensi mendapat bonus hingga jutaan yuan karena lonjakan permintaan HBM untuk AI. SK Hynix mengonfirmasi aturan pembagian bonus 10% dari laba operasi, tetapi menyangkal angka spesifik yang beredar. Menurut seorang karyawan teknis China dengan pengalaman lebih dari 10 tahun, bonus tertinggi yang pernah diterimanya sekitar 100.000 yuan, jauh di bawah prediksi "rata-rata 3 juta yuan" untuk karyawan Korea. Perbedaan ini dikarenakan perbedaan struktur penggajian dan frekuensi pembayaran bonus antara dua negara. Perusahaan memiliki pabrik di Wuxi, Dalian, dan Chongqing. Lowongan kerja di Dalian menunjukkan gaji insinyur antara 10.000 hingga 35.000 yuan per bulan dengan 13 bulan gaji. Namun, karyawan China umumnya tidak menerima insentif saham dan jarang mencapai posisi manajemen puncak, yang didominasi oleh ekspatriat Korea. Sektor memori saat ini sedang mengalami periode boom yang didorong oleh AI, berlawanan dengan kerugian yang dialami pada siklus penurunan 2023. Analis memprediksi momentum ini akan berlanjut selama 2-3 tahun ke depan, terutama untuk produk pelanggan korporat seperti HBM, yang mungkin berdampak pada kenaikan harga produk konsumen.

链捕手45m yang lalu

Karyawan SK Hynix di China Terpukul: Bonus Tidak Mencapai 5% dari Karyawan Korea

链捕手45m yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow