DeFi Kembali Dicuri $292 Juta, Bahkan Aave Tidak Aman Lagi?

marsbitDipublikasikan tanggal 2026-04-18Terakhir diperbarui pada 2026-04-18

Abstrak

Serangan keamanan DeFi kembali terjadi pada 19 April, dengan protokol Kelp DAO kehilangan 116.500 rsETH senilai sekitar $292 juta melalui eksploitasi kontrak bridge berbasis LayerZero. Penyebab utama diduga karena kompromi kunci pribadi di chain sumber. Peretas menggunakan dana curian sebagai jaminan di platform pinjaman seperti Aave, Compound, dan Euler untuk meminjam WETH, menciptakan potensi utang macet hingga $236 juta. Aave membekukan pasar rsETH dan mengonfirmasi sedang mengevaluasi kerugian, dengan cadangan modul keamanan Umbrella senilai $50 juta siap digunakan. Peristiwa ini menyusul insiden serupa di Drift Protocol awal April, memperburuk kekhawatiran keamanan DeFi. Pengguna disarankan mendiversifikasi aset dan berhati-hati menyimpan dana besar di chain.

Orisinil | Odaily Planet Daily(@OdailyChina)

Penulis|Azuma(@azuma_eth)

Waktu Beijing 19 April, keamanan DeFi kembali menerima pukulan berat.

Data on-chain menunjukkan,sekitar pukul 1:35 pagi ini, kontrak bridge rsETH protokol staking likuiditas terbesar kedua Kelp DAO yang berbasis di LayerZero diduga dieksploitasi oleh peretas, kehilangan 116.500 rsETH, bernilai sekitar $292 juta.

Melacak lebih lanjut catatan on-chain, alamat penyerang menerima dana awal 1 ETH dari protokol pencampur Tornado Cash sekitar 10 jam sebelum kejadian. Setelah itu, alamat tersebut memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, panggilan ini memicu kontrak bridge Kelp, mentransfer 116.500 rsETH ke alamat penyerang lainnya.

Sekitar 2,5 jam setelah kejadian, Kelp DAO secara resmi mengonfirmasi serangan di X: "Lebih awal hari ini, kami menemukan aktivitas cross-chain mencurigakan yang melibatkan rsETH. Selama penyelidikan, kami telah menangguhkan kontrak rsETH di mainnet dan beberapa Layer2. Auditor kami sedang bekerja sama dengan pakar keamanan LayerZero, Unichain, dan memantau situasi ini dengan cermat. Kami akan memberi tahu Anda perkembangan terbaru, silakan pantau saluran resmi."

Setelah kejadian, berbagai proyek DeFi dan lembaga keamanan menganalisis penyebab peristiwa tersebut. Analisis D2 Finance banyak dikutip di komunitas — LayerZero Scan menandai sumber ujung seberang sebagai Kelp DAO, ini berarti pesan berasal dari kontrak ujung seberang yang dikerahkan secara sah oleh Kelp sendiri, dan jalur ini sebelumnya telah memiliki 308 catatan nonce pesan. Oleh karena itu,penyebab utama serangan ini adalah "kompromi kunci pribadi di chain sumber".

Pengembang TinyHumans AI Steven Enamakel menambahkan, kontrak ini hanya dijamin oleh satu set validator 1/1 (DVN), yang berarti cukup bagi validator untuk mengirimkan satu transaksi yang salah untuk menimbulkan masalah.

Peretas Melarikan Diri Melalui Aave, Diduga Telah Menyebabkan Kredit Macet

Karena likuiditas perdagangan rsETH sendiri terbatas, strategi pelarian yang dipilih peretas adalah melalui protokol peminjaman seperti Aave, menggadaikan rsETH dan meminjam wETH yang likuiditas perdagangannya lebih baik.

Monitoring PeckShield Alert menunjukkan, hingga pukul 4:30 pagi ini, alamat peretas telah menyetor rsETH yang dicuri ke protokol peminjaman seperti Aave V3, Compound V3, Euler, dan meminjam sejumlah besar WETH, total utang melebihi $236 juta — di mana hanya platform Aave saja yang utangnya mencapai $196 juta, Compound $39,4 juta, Euler hanya $840.000.

Setelah kejadian, Aave segera membekukan pasar rsETH di Aave V3 dan V4, tim kemudian merilis pernyataan resmi di X: "Kontrak Aave tidak diserang, serangan ini terkait dengan rsETH. Pembekuan rsETH adalah untuk mencegah setoran rsETH baru dan pinjaman beragun selama evaluasi situasi. Kami sedang meninjau informasi pinjaman rsETH yang terjadi di Aave setelah serangan, dan akan segera berbagi detail lebih lanjut."

Tidak lama setelah pernyataan awal dirilis, Aave memperbarui dinamika tersebut, menambahkan kalimat di akhir: "Jika protokol mengakumulasi kredit macet karena peristiwa ini, kami akan mengeksplorasi cara untuk menutupi defisit."

Hingga berita ini ditulis,jumlah pasti kredit macet yang disebabkan oleh peristiwa ini masih belum jelas.

Direktur Strategi pesaing langsung Aave, Spark, monetsupply.eth, menyatakan, jika rsETH mengalami diskon 19% (jumlah yang dicuri merupakan 19% dari total pasokan rsETH), Aave mungkin menghasilkan kredit macet lebih dari $100 juta, karena adanya pinjaman berulang dengan leverage tinggi.

Namun, pendiri kelompok pemerintahan perwakilan ekosistem Aave, Aave Chan Initiative (ACI), Marc Zeller (telah mengumumkan akan keluar dari Aave pada Juli karena perbedaan pemerintahan) memberikan pandangan berbeda. Zeller pada awal ledakan peristiwa pernah menyarankan pengguna untuk mengambil WETH dari Aave V3 secepatnya untuk menghindari kerugian, dan mengonfirmasi pasar USDC dan USDT di Aave tidak terpengaruh, dia dalam balasan kepada pengguna lain tentang dugaan "kredit macet mungkin mencapai skala ratusan juta" menyatakan: "Jauh lebih kecil dari angka itu."

Tapi Marc Zeller juga menyebutkan, sekarang saatnya untuk menguji Umbrella dalam lingkungan produksi yang sebenarnya. Yang dimaksud Umbrella adalah modul keamanan otomatis Aave, sederhananya ini adalah kolam dana untuk menangani kredit macet, pengguna dapat menyetor aset ke dalamnya untuk mendapatkan insentif yang tinggi, tetapi ketika protokol mengalami kredit macet, kolam dana ini juga harus menanggung kerugian potensial.

Data protokol Aave menunjukkan,saat ini Umbrella memiliki WETH bernilai sekitar $50 juta yang dapat digunakan untuk menangani kredit macet potensial dari peristiwa ini, tetapi untuk sementara tidak pasti apakah cukup untuk menutupi lubang.

Terpengaruh peristiwa ini, AAVE anjlok hampir 10%, hingga berita ini ditulis sementara diperdagangkan pada 104,6 USDT.

Peristiwa Keamanan Skala Ratusan Juta Lainnya di Bulan April

Ini bukan peristiwa keamanan dengan jumlah besar pertama yang terjadi bulan ini.

Pada 1 April, protokol perdagangan derivasi ekosistem Solana Drift Protocol pernah diserang, kehilangan hingga $280 juta (lihat "Lelucon April Mop? Drift Protocol Dicuri Lebih dari $280 Juta, Menjadi Perampokan DeFi Terbesar Kedua di Ekosistem Solana").

Setelahnya, Drift Protocol langsung menyalahkan "peretas Korea Utara" untuk pencurian tersebut, tetapi beruntung, institusi seperti Tether telah berkomitmen menyuntikkan dana $147,5 juta untuk ganti rugi pengguna, setidaknya pengguna memiliki sedikit harapan klaim.

Hanya berselang belasan hari, ledakan peristiwa peretas dengan skala lebih besar terjadi, kali ini bagaimana akhirnya?

Apakah Masih Ada Tempat yang Aman untuk DeFi?

Masalah keamanan DeFi semakin menjadi-jadi.

Di satu sisi peristiwa peretas yang terus-menerus, di sisi lain ancaman keamanan berkelanjutan yang dibawa oleh AI seperti Mythos (dapat dilihat "Wawancara Odaily dengan Yu Xian: Model Baru Tingkat Nuklir Anthropic Bocor, Bagaimana Mempengaruhi Serangan dan Pertahanan Keamanan Kripto?"). Bagi pengguna DeFi, langkah penanganan sebelumnya adalah mengumpulkan dana sebanyak mungkin ke protokol kepala yang diaudit penuh dan memiliki reputasi merek yang baik, tetapi sekarang,bahkan protokol top seperti Aave yang secara bawah sadar sangat sulit bermasalah bagi retail juga terkena dampaknya secara tidak langsung, ke mana lagi pengguna dapat memindahkan dananya?

Secara pribadi, saat ini memang tidak disarankan pengguna menyimpan dana besar di on-chain, jika memang ada kebutuhan, harap lakukan dispersi dan isolasi posisi dengan baik.

Hingga berita ini ditulis, banyak detail tentang peristiwa ini masih belum jelas, Odaily akan terus mengikuti perkembangan peristiwa, harap pantau terus.

Pertanyaan Terkait

QApa yang terjadi dengan Kelp DAO pada 19 April dan berapa kerugian yang dialami?

APada 19 April, Kelp DAO, protokol staking likuiditas terbesar kedua, mengalami serangan hacker melalui kontrak bridging rsETH berbasis LayerZero. Kerugian yang dialami mencapai 116.500 rsETH, senilai sekitar $292 juta.

QBagaimana penyerang berhasil mengeksekusi serangan terhadap Kelp DAO?

APenyerang menerima dana awal 1 ETH dari Tornado Cash sekitar 10 jam sebelum kejadian, kemudian memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2. Panggilan ini memicu kontrak bridging Kelp dan mentransfer rsETH ke alamat penyerang lain.

QBagaimana peran Aave dalam insiden ini dan apa tindakan yang diambilnya?

APenyerang menggunakan rsETH yang dicuri sebagai jaminan di Aave V3, Compound V3, dan Euler untuk meminjam WETH yang lebih likuid. Aave membekukan pasar rsETH di V3 dan V4 untuk mencegah deposit dan pinjaman baru, dan sedang mengevaluasi potensi kerugian (bad debt).

QApa kemungkinan dampak kerugian (bad debt) pada Aave dan bagaimana mereka berencana menanganinya?

AMeski jumlah pastinya belum jelas, perkiraan kerugian bervariasi. Aave memiliki modul keamanan Umbrella dengan sekitar $50 juta WETH untuk menutupi kerugian potensial, dan tim sedang mengeksplorasi cara menutupi defisit jika terjadi.

QApa respons komunitas dan ahli keamanan terhadap penyebab utama serangan ini?

AAnalisis dari D2 Finance dan Steven Enamakel menunjukkan bahwa akar masalahnya adalah 'kompromi kunci pribadi di chain sumber' (source chain private key compromise), dengan kontrak yang hanya diamankan oleh satu validator (1/1 DVN), membuatnya rentan jika validator menyetujui transaksi palsu.

Bacaan Terkait

Peta Investasi AI Sedang Berubah: Selain 'Tujuh Raksasa', Peluang Apa Lagi di Rantai Pasok Semikonduktor?

Lanskap investasi AI sedang berubah. Setelah hype awal di sekitar "Tujuh Raksasa" (Magnificent-7), fokus investor kini bergeser ke rantai pasokan semikonduktor yang mendukung infrastruktur AI, mengikuti logika "penjual sekop" saat demam emas. Keraguan awal tentang "perlombaan senjata" AI dan efektivitas belanja modal besar-besaran mulai terjawab oleh laporan kinerja kuartalan yang kuat, menunjukkan permintaan komputasi yang nyata. Ini mengalihkan perhatian ke logika yang lebih pasti: terlepas dari pemenang akhir aplikasi AI, belanja modal tersebut akan langsung mendorong permintaan tinggi untuk komponen semikonduktor dan AI. "AI-11", yang mewakili inti rantai pasokan ini, berkinerja lebih baik daripada sebagian besar Tujuh Raksasa. Rantai ini mencakup: 1. **Foundry & Lithography** (TSMC, ASML): pondasi pembuatan chip. 2. **Chip Logika & Kustom** (AMD, Broadcom, Marvell, Intel): untuk pemrosesan, jaringan, dan chip khusus AI. 3. **Chip Memori** (Micron, SK Hynix, Samsung): penyedia HBM, komoditas penting untuk pelatihan AI. 4. **Penyimpanan Perusahaan** (SanDisk, Western Digital): untuk media penyimpanan data. Setiap dolar belanja modal AI harus mengalir melalui rantai pasokan ini terlebih dahulu, menciptakan peluang yang jelas dan langsung. Sementara Tujuh Raksasa tetap dominan dalam ukuran, pertumbuhan laba mereka relatif terhadap "S&P 493" (S&P 500 dikurangi Tujuh Raksasa) mulai menyempit. Uang marginal dan perhatian investor berpindah ke cerita pertumbuhan baru di sepanjang rantai pasokan. Kesimpulannya, logika investasi AI telah berevolusi dari "memilih pemenang" di antara raksasa teknologi menjadi "berinvestasi pada kepastian" dalam rantai pasokan semikonduktor yang secara langsung menangkap gelombang belanja modal AI. Memahami pergeseran dari sisi permintaan ke sisi penawaran ini adalah kunci untuk peluang ke depan.

marsbit8m yang lalu

Peta Investasi AI Sedang Berubah: Selain 'Tujuh Raksasa', Peluang Apa Lagi di Rantai Pasok Semikonduktor?

marsbit8m yang lalu

600 Orang dan $6,6 Miliar: 'Pencairan Dana' Pertama di Era Model Besar

Dalam sejarah pembentukan kekayaan Silicon Valley, belum ada perusahaan yang memungkinkan begitu banyak karyawan mencairkan aset dalam jumlah begitu besar sebelum IPO. Pada Oktober 2025, lebih dari 600 karyawan OpenAI saat ini dan sebelumnya menjual saham senilai total $66 miliar di pasar sekunder. Sekitar 75 orang mencapai batas penjualan maksimum $30 juta per orang, sementara sekitar 525 orang lainnya rata-rata mencairkan sekitar $8,3 juta per orang. Ini adalah "pencairan besar-besaran" pertama era AI yang sistematis. Transaksi ini melebihi setiap IPO resmi di pasar AS tahun 2024, bagaikan sebuah "IPO bayangan". Aturannya sederhana: karyawan boleh menjual setelah memegang saham selama dua tahun. Bagi OpenAI, ini adalah cara langsung untuk mempertahankan talenta di tengah persaingan ketat seperti tawaran dari Meta. Namun, ini menciptakan dilema: pencairan dini berarti melepas potensi apresiasi nilai di masa depan, sementara menahan saham menghadapi risiko perubahan fundamental perusahaan. Kontras terlihat dengan Anthropic, yang melakukan penjualan sekunder pada April 2026 dengan valuasi $3,5 triliun namun dalam skala jauh lebih kecil karena karyawan enggan menjual. Dari sisi keuangan, CFO OpenAI mengakui pendapatan tahunan 2025 melebihi $200 miliar, namun diperkirakan mengalami kerugian besar dan arus kas positif baru mungkin pada 2030, ditambah kewajiban pembayaran bagian pendapatan ke Microsoft. Sementara itu, pendapatan tahunan Anthropic melonjak pesat dengan margin kotor yang meningkat dan proyeksi profitabilitas pada 2028. Valuasi OpenAI terjepit antara narasi pendanaan yang melambung dan risiko kehilangan talenta serta defisit keuangan yang berkepanjangan. Situasi ini menggambarkan perang kapital AI yang kompleks, di mana algoritme kekuasaan dan uang sering kali mengaburkan kemurnian algoritme teknologi itu sendiri.

marsbit29m yang lalu

600 Orang dan $6,6 Miliar: 'Pencairan Dana' Pertama di Era Model Besar

marsbit29m yang lalu

Nvidia Mulai Menuangkan Sabun ke dalam Gelembung

NVIDIA sedang membangun "sistem irigasi" modal sendiri untuk seluruh rantai pasokan AI. Sepanjang 2026, raksasa chip ini telah berkomitmen lebih dari $40 miliar dalam investasi, mulai dari pabrik serat optik (seperti Corning), operator pusat data (seperti IREN), hingga pengembang model dasar besar (seperti OpenAI, Anthropic, xAI). Polanya hampir seragam: perusahaan yang menerima investasi adalah pembeli besar GPU NVIDIA, dan uang itu sering digunakan untuk membeli lebih banyak chip NVIDIA, menciptakan apa yang disebut analis sebagai "pendapatan sirkuler" atau "pasokan mandiri permintaan." CEO Jensen Huang menolak keras tuduhan "pendanaan berputar", menyebutnya tidak masuk akal dan menekankan bahwa investasi ini adalah dukungan jangka panjang. Di sisi lain, investasinya di Intel telah mendatangkan keuntungan kertas yang sangat besar. Beberapa analis memuji strategi ini sebagai cara yang cerdik untuk membangun "parit pelindung" rantai pasokan dan mempercepat pengembangan teknologi kritis. Namun, yang lain merasa tidak nyaman, bertanya-tanya berapa banyak permintaan AI yang asli dan berapa banyak yang disangga oleh neraca NVIDIA sendiri. Meski mencetak rekor pendapatan dan arus kas bebas, pasar mulai mempertanyakan daya tahan pertumbuhan ini. Ketidakpastian berpusat pada berapa lama pengeluaran modal AI dapat terus berkembang. Inti perdebatan adalah: ketika pemasok terpaksa menggunakan modalnya sendiri untuk menumbuhkan permintaan pelanggan, apakah ini fondasi yang kokoh atau hanya gelembung yang diperkuat dengan "sabun" finansial? Ini menjadi eksperimen yang membutuhkan penilaian investor yang sangat tenang.

marsbit51m yang lalu

Nvidia Mulai Menuangkan Sabun ke dalam Gelembung

marsbit51m yang lalu

Penjual Singkat Telah Habis Tersingkir: Akankah Babak Selanjutnya Pasar AI Saham AS Terus Berlanjut di Seoul?

Analisis Nomura pada 11 Mei menyoroti pergeseran dalam rally saham AI AS. Tahap awal yang didorong oleh penutupan posisi short (short squeeze), penambahan posisi oleh dana CTA, dan strategi kontrol volatilitas telah mendekati batas. Untuk melanjutkan rally, diperlukan dana baru dari ritel dan investor yang didorong FOMO (Fear Of Missing Out). Pasar Korea Selatan langsung merespons. Pada hari yang sama, KOSPI melonjak 4.32%, memicu 'buy-sidecar'. Saham chip seperti SK Hynix (+11.98%) dan Samsung Electronics melesat, didorong oleh FOMO ritel dan aliran masuk modal asing ke ETF DRAM yang berfokus pada semikonduktor. Ini membuktikan narasi AI AS kini merambat ke aset berisiko tinggi (high-beta) seperti saham Korea. Namun, sinyal peringatan muncul. Kenaikan indeks AS diiringi kenaikan volatilitas (VIX), kombinasi yang tidak biasa menunjukkan investor institusi masih waspada. Kenaikan pasar juga sangat sempit, hanya didorong oleh segelintir saham teknologi besar. Di Korea, kenaikan volatilitas KOSPI 200 belum diikuti kenaikan 'skew' opsi call, menandakan FOMO opsi belum penuh. Rally Korea adalah perpanjangan dari cerita belanja modal AI AS yang masif, dipicu permintaan tinggi untuk HBM dan chip memori. Namun, ketergantungannya membuatnya rentan. Kelanjutannya bergantung pada beberapa faktor: apakah saham tech AS terkoreksi, data CPI AS, dan ketegangan geopolitik di Selat Hormuz yang mempengaruhi harga energi. Seoul kini menjadi episentrum baru perdagangan tema AI.

marsbit52m yang lalu

Penjual Singkat Telah Habis Tersingkir: Akankah Babak Selanjutnya Pasar AI Saham AS Terus Berlanjut di Seoul?

marsbit52m yang lalu

Trump Menolak Proposal Perdamaian Iran — Bitcoin Pecah $82.000

Bitcoin telah melonjak hampir 30% sejak perang AS-Iran dimulai pada 28 Februari, mengungguli emas dan S&P 500 di tengah gejolak pasar global. Menurut analis, dua agenda di Senat AS minggu ini, yaitu pemilihan calon ketua Fed dan pembahasan undang-undang crypto, dapat mendorong kenaikan lebih lanjut. Latar belakangnya adalah konflik yang berkepanjangan, dengan Presiden AS Donald Trump menolak proposal perdamaian Iran yang meminta ganti rugi dan pencairan aset. Penolakan ini mengakibatkan harga minyak melonjak. Bitcoin sempat turun sesaat setelah pengumuman Trump, namun pulih dengan cepat dan menembus $82.000, menghapus posisi short senilai lebih dari $60 juta. Perdana Menteri Israel Benjamin Netanyahu menegaskan perang tidak akan berakhir sebelum situs uranium Iran dibongkar, memupus harapan penyelesaian damai dalam waktu dekat. Sepanjang 10 minggu konflik, Bitcoin terus menunjukkan pola pergerakan yang berbeda dari aset tradisional, tetap naik meski ketegangan geopolitik meningkat.

bitcoinist1j yang lalu

Trump Menolak Proposal Perdamaian Iran — Bitcoin Pecah $82.000