DeFi Kembali Dicuri $292 Juta, Bahkan Aave Tidak Aman Lagi?

marsbitDipublikasikan tanggal 2026-04-18Terakhir diperbarui pada 2026-04-18

Abstrak

Serangan keamanan DeFi kembali terjadi pada 19 April, dengan protokol Kelp DAO kehilangan 116.500 rsETH senilai sekitar $292 juta melalui eksploitasi kontrak bridge berbasis LayerZero. Penyebab utama diduga karena kompromi kunci pribadi di chain sumber. Peretas menggunakan dana curian sebagai jaminan di platform pinjaman seperti Aave, Compound, dan Euler untuk meminjam WETH, menciptakan potensi utang macet hingga $236 juta. Aave membekukan pasar rsETH dan mengonfirmasi sedang mengevaluasi kerugian, dengan cadangan modul keamanan Umbrella senilai $50 juta siap digunakan. Peristiwa ini menyusul insiden serupa di Drift Protocol awal April, memperburuk kekhawatiran keamanan DeFi. Pengguna disarankan mendiversifikasi aset dan berhati-hati menyimpan dana besar di chain.

Orisinil | Odaily Planet Daily(@OdailyChina)

Penulis|Azuma(@azuma_eth)

Waktu Beijing 19 April, keamanan DeFi kembali menerima pukulan berat.

Data on-chain menunjukkan,sekitar pukul 1:35 pagi ini, kontrak bridge rsETH protokol staking likuiditas terbesar kedua Kelp DAO yang berbasis di LayerZero diduga dieksploitasi oleh peretas, kehilangan 116.500 rsETH, bernilai sekitar $292 juta.

Melacak lebih lanjut catatan on-chain, alamat penyerang menerima dana awal 1 ETH dari protokol pencampur Tornado Cash sekitar 10 jam sebelum kejadian. Setelah itu, alamat tersebut memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2, panggilan ini memicu kontrak bridge Kelp, mentransfer 116.500 rsETH ke alamat penyerang lainnya.

Sekitar 2,5 jam setelah kejadian, Kelp DAO secara resmi mengonfirmasi serangan di X: "Lebih awal hari ini, kami menemukan aktivitas cross-chain mencurigakan yang melibatkan rsETH. Selama penyelidikan, kami telah menangguhkan kontrak rsETH di mainnet dan beberapa Layer2. Auditor kami sedang bekerja sama dengan pakar keamanan LayerZero, Unichain, dan memantau situasi ini dengan cermat. Kami akan memberi tahu Anda perkembangan terbaru, silakan pantau saluran resmi."

Setelah kejadian, berbagai proyek DeFi dan lembaga keamanan menganalisis penyebab peristiwa tersebut. Analisis D2 Finance banyak dikutip di komunitas — LayerZero Scan menandai sumber ujung seberang sebagai Kelp DAO, ini berarti pesan berasal dari kontrak ujung seberang yang dikerahkan secara sah oleh Kelp sendiri, dan jalur ini sebelumnya telah memiliki 308 catatan nonce pesan. Oleh karena itu,penyebab utama serangan ini adalah "kompromi kunci pribadi di chain sumber".

Pengembang TinyHumans AI Steven Enamakel menambahkan, kontrak ini hanya dijamin oleh satu set validator 1/1 (DVN), yang berarti cukup bagi validator untuk mengirimkan satu transaksi yang salah untuk menimbulkan masalah.

Peretas Melarikan Diri Melalui Aave, Diduga Telah Menyebabkan Kredit Macet

Karena likuiditas perdagangan rsETH sendiri terbatas, strategi pelarian yang dipilih peretas adalah melalui protokol peminjaman seperti Aave, menggadaikan rsETH dan meminjam wETH yang likuiditas perdagangannya lebih baik.

Monitoring PeckShield Alert menunjukkan, hingga pukul 4:30 pagi ini, alamat peretas telah menyetor rsETH yang dicuri ke protokol peminjaman seperti Aave V3, Compound V3, Euler, dan meminjam sejumlah besar WETH, total utang melebihi $236 juta — di mana hanya platform Aave saja yang utangnya mencapai $196 juta, Compound $39,4 juta, Euler hanya $840.000.

Setelah kejadian, Aave segera membekukan pasar rsETH di Aave V3 dan V4, tim kemudian merilis pernyataan resmi di X: "Kontrak Aave tidak diserang, serangan ini terkait dengan rsETH. Pembekuan rsETH adalah untuk mencegah setoran rsETH baru dan pinjaman beragun selama evaluasi situasi. Kami sedang meninjau informasi pinjaman rsETH yang terjadi di Aave setelah serangan, dan akan segera berbagi detail lebih lanjut."

Tidak lama setelah pernyataan awal dirilis, Aave memperbarui dinamika tersebut, menambahkan kalimat di akhir: "Jika protokol mengakumulasi kredit macet karena peristiwa ini, kami akan mengeksplorasi cara untuk menutupi defisit."

Hingga berita ini ditulis,jumlah pasti kredit macet yang disebabkan oleh peristiwa ini masih belum jelas.

Direktur Strategi pesaing langsung Aave, Spark, monetsupply.eth, menyatakan, jika rsETH mengalami diskon 19% (jumlah yang dicuri merupakan 19% dari total pasokan rsETH), Aave mungkin menghasilkan kredit macet lebih dari $100 juta, karena adanya pinjaman berulang dengan leverage tinggi.

Namun, pendiri kelompok pemerintahan perwakilan ekosistem Aave, Aave Chan Initiative (ACI), Marc Zeller (telah mengumumkan akan keluar dari Aave pada Juli karena perbedaan pemerintahan) memberikan pandangan berbeda. Zeller pada awal ledakan peristiwa pernah menyarankan pengguna untuk mengambil WETH dari Aave V3 secepatnya untuk menghindari kerugian, dan mengonfirmasi pasar USDC dan USDT di Aave tidak terpengaruh, dia dalam balasan kepada pengguna lain tentang dugaan "kredit macet mungkin mencapai skala ratusan juta" menyatakan: "Jauh lebih kecil dari angka itu."

Tapi Marc Zeller juga menyebutkan, sekarang saatnya untuk menguji Umbrella dalam lingkungan produksi yang sebenarnya. Yang dimaksud Umbrella adalah modul keamanan otomatis Aave, sederhananya ini adalah kolam dana untuk menangani kredit macet, pengguna dapat menyetor aset ke dalamnya untuk mendapatkan insentif yang tinggi, tetapi ketika protokol mengalami kredit macet, kolam dana ini juga harus menanggung kerugian potensial.

Data protokol Aave menunjukkan,saat ini Umbrella memiliki WETH bernilai sekitar $50 juta yang dapat digunakan untuk menangani kredit macet potensial dari peristiwa ini, tetapi untuk sementara tidak pasti apakah cukup untuk menutupi lubang.

Terpengaruh peristiwa ini, AAVE anjlok hampir 10%, hingga berita ini ditulis sementara diperdagangkan pada 104,6 USDT.

Peristiwa Keamanan Skala Ratusan Juta Lainnya di Bulan April

Ini bukan peristiwa keamanan dengan jumlah besar pertama yang terjadi bulan ini.

Pada 1 April, protokol perdagangan derivasi ekosistem Solana Drift Protocol pernah diserang, kehilangan hingga $280 juta (lihat "Lelucon April Mop? Drift Protocol Dicuri Lebih dari $280 Juta, Menjadi Perampokan DeFi Terbesar Kedua di Ekosistem Solana").

Setelahnya, Drift Protocol langsung menyalahkan "peretas Korea Utara" untuk pencurian tersebut, tetapi beruntung, institusi seperti Tether telah berkomitmen menyuntikkan dana $147,5 juta untuk ganti rugi pengguna, setidaknya pengguna memiliki sedikit harapan klaim.

Hanya berselang belasan hari, ledakan peristiwa peretas dengan skala lebih besar terjadi, kali ini bagaimana akhirnya?

Apakah Masih Ada Tempat yang Aman untuk DeFi?

Masalah keamanan DeFi semakin menjadi-jadi.

Di satu sisi peristiwa peretas yang terus-menerus, di sisi lain ancaman keamanan berkelanjutan yang dibawa oleh AI seperti Mythos (dapat dilihat "Wawancara Odaily dengan Yu Xian: Model Baru Tingkat Nuklir Anthropic Bocor, Bagaimana Mempengaruhi Serangan dan Pertahanan Keamanan Kripto?"). Bagi pengguna DeFi, langkah penanganan sebelumnya adalah mengumpulkan dana sebanyak mungkin ke protokol kepala yang diaudit penuh dan memiliki reputasi merek yang baik, tetapi sekarang,bahkan protokol top seperti Aave yang secara bawah sadar sangat sulit bermasalah bagi retail juga terkena dampaknya secara tidak langsung, ke mana lagi pengguna dapat memindahkan dananya?

Secara pribadi, saat ini memang tidak disarankan pengguna menyimpan dana besar di on-chain, jika memang ada kebutuhan, harap lakukan dispersi dan isolasi posisi dengan baik.

Hingga berita ini ditulis, banyak detail tentang peristiwa ini masih belum jelas, Odaily akan terus mengikuti perkembangan peristiwa, harap pantau terus.

Pertanyaan Terkait

QApa yang terjadi dengan Kelp DAO pada 19 April dan berapa kerugian yang dialami?

APada 19 April, Kelp DAO, protokol staking likuiditas terbesar kedua, mengalami serangan hacker melalui kontrak bridging rsETH berbasis LayerZero. Kerugian yang dialami mencapai 116.500 rsETH, senilai sekitar $292 juta.

QBagaimana penyerang berhasil mengeksekusi serangan terhadap Kelp DAO?

APenyerang menerima dana awal 1 ETH dari Tornado Cash sekitar 10 jam sebelum kejadian, kemudian memanggil fungsi lzReceive pada kontrak LayerZero EndpointV2. Panggilan ini memicu kontrak bridging Kelp dan mentransfer rsETH ke alamat penyerang lain.

QBagaimana peran Aave dalam insiden ini dan apa tindakan yang diambilnya?

APenyerang menggunakan rsETH yang dicuri sebagai jaminan di Aave V3, Compound V3, dan Euler untuk meminjam WETH yang lebih likuid. Aave membekukan pasar rsETH di V3 dan V4 untuk mencegah deposit dan pinjaman baru, dan sedang mengevaluasi potensi kerugian (bad debt).

QApa kemungkinan dampak kerugian (bad debt) pada Aave dan bagaimana mereka berencana menanganinya?

AMeski jumlah pastinya belum jelas, perkiraan kerugian bervariasi. Aave memiliki modul keamanan Umbrella dengan sekitar $50 juta WETH untuk menutupi kerugian potensial, dan tim sedang mengeksplorasi cara menutupi defisit jika terjadi.

QApa respons komunitas dan ahli keamanan terhadap penyebab utama serangan ini?

AAnalisis dari D2 Finance dan Steven Enamakel menunjukkan bahwa akar masalahnya adalah 'kompromi kunci pribadi di chain sumber' (source chain private key compromise), dengan kontrak yang hanya diamankan oleh satu validator (1/1 DVN), membuatnya rentan jika validator menyetujui transaksi palsu.

Bacaan Terkait

Setelah Pelatihan, Insinyur OpenAI Weng Jiayi Mengajukan Asumsi Paradigma Baru untuk Agentic AI

Dalam eksperimen terbarunya, insinyur OpenAI, Weng Jiayi, mengusulkan paradigma baru untuk AI agentik yang disebut "Heuristic Learning" (HL). Berbeda dengan pendekatan tradisional yang mengandalkan pelatihan model neural berskala besar, HL memungkinkan AI (dalam hal ini Codex) untuk secara mandiri menulis, menjalankan, menguji, dan merevisi kode program strategi berdasarkan tujuan, lingkungan yang dapat dijalankan, dan umpan balik tertutup. Dalam eksperimen utama di lingkungan Atari Breakout, agen Codex berhasil mengembangkan strategi kode Python murni yang mencapai skor sempurna 864. Prosesnya melibatkan siklus iteratif: menulis kode, menjalankan simulasi, menganalisis log dan rekaman video, mengidentifikasi kegagalan, lalu memodifikasi kode. Pengalaman "dipelajari" tidak disimpan dalam bobot neural network, tetapi dalam sistem perangkat lunak yang dapat dibaca, diubah, dan diaudit. Eksperimen lebih lanjut di 57 game Atari menunjukkan bahwa pendekatan HL memiliki efisiensi sampel yang mengesankan di awal, mencapai kinerja sebanding dengan algoritma Reinforcement Learning (RL) seperti PPO dalam jutaan langkah. Namun, HL memiliki batasan dalam tugas yang memerlukan perencanaan jangka panjang dan urutan aksi kompleks, seperti yang terlihat dalam game Montezuma's Revenge. Paradigma HL ini berpotensi memiliki implikasi signifikan di industri, terutama dalam: 1) Kontrol robotik untuk skenario terstruktur, mengurangi ketergantungan pada inferensi neural network berat di setiap langkah; 2) Skenario kritis keamanan (mobil otonom, robot medis) di mana kemampuan audit dan penelusuran kode sangat berharga; 3) Pembelajaran berkelanjutan yang dapat diotomatisasi dan diintegrasikan ke dalam alur kerja rekayasa perangkat lunak; 4) Preservasi dan pertukaran kemampuan agen dalam bentuk aset kode yang dapat digunakan kembali. Weng Jiayi menekankan bahwa HL bukan pengganti lengkap untuk neural network, tetapi pelengkap. Visinya adalah sistem hybrid di mana neural network (System 1) menangani persepsi cepat, HL menangani pemrosesan aturan dan memori yang dapat diinterpretasikan, dan LLM agen (System 2) memberikan umpan balik tingkat tinggi. Intinya, HL menawarkan kemungkinan untuk mengubah pengalaman AI dari sesuatu yang "terkompresi dalam bobot" menjadi sesuatu yang "terkandung dalam perangkat lunak yang dapat dipelihara".

marsbit13m yang lalu

Setelah Pelatihan, Insinyur OpenAI Weng Jiayi Mengajukan Asumsi Paradigma Baru untuk Agentic AI

marsbit13m yang lalu

Claude-mu Akan Bermalam Ini, Jangan Ganggu Ia

Anthropic memperkenalkan fitur "Dreaming" (Bermimpi) pada platform Managed Agents, yang memungkinkan AI Agent secara otomatis menganalisis dan mengoptimalkan log dari sesi tugas sebelumnya saat tidak aktif. Proses ini mirip dengan konsolidasi memori dalam tidur manusia, di mana AI menyaring informasi penting dari riwayat operasinya (seperti pola keberhasilan atau kegagalan) untuk meningkatkan kinerja di masa depan. Fitur serupa juga dikembangkan oleh Hermes Agent dan OpenClaw, yang menggunakan mekanisme "mimpi" untuk menyempurnakan keterampilan dan memori jangka panjang AI. Artikel ini mengeksplorasi bagaimana istilah-istilah manusia seperti "berpikir", "ingatan", dan kini "bermimpi" semakin banyak diterapkan pada teknologi AI. Penggunaan bahasa ini tidak hanya bersifat metaforis tetapi juga membentuk persepsi pengguna tentang AI sebagai entitas yang lebih hidup dan mandiri. Namun, secara teknis, "Dreaming" pada AI adalah proses pengolahan data offline yang bertujuan untuk efisiensi dan pembelajaran mandiri, berbeda dengan mimpi manusia yang melibatkan kesadaran. Tantangan kontekstual dalam AI, seperti batasan memori (KV Cache) dan kebutuhan akan jendela konteks yang lebih besar (seperti model SubQ yang mengklaim 12 juta token), mendorong pengembangan fitur seperti "Dreaming" untuk membantu AI mengelola informasi dengan lebih cerdas. Artikel ini mengajak pembaca untuk mempertanyakan bagaimana bahasa membentuk hubungan kita dengan teknologi dan menggeser tanggung jawab dari pengembang ke AI itu sendiri.

marsbit17m yang lalu

Claude-mu Akan Bermalam Ini, Jangan Ganggu Ia

marsbit17m yang lalu

CoreWeave yang Diborong Duan Yongping, Kini Berubah Jadi Medan Perang Sengit antara Bull dan Bear

Penulis: Deep潮 TechFlow Pada 8 Mei, penyedia daya komputasi awan AI CoreWeave (CRWV) anjlok 11,4% dalam sehari. Kejatuhan ini terjadi bersamaan dengan fakta bahwa investor terkenal Tiongkok, Duan Yongping (段永平), yang sering disebut sebagai "murid Warren Buffett," baru saja membuka posisi pertamanya di CoreWeave pada kuartal IV 2025 dengan nilai sekitar $20 juta, tepat di dekat kisaran terendah saham tahun 2025. Laporan keuangan Q1 CoreWeave mempertajam perdebatan sengit antara pihak bullish (optimis) dan bearish (pesimis). Pendapatan melonjak 112% menjadi $2,08 miliar, namun kerugian bersih melebar menjadi $740 juta. Panduan pendapatan untuk Q2 juga berada di bawah ekspektasi pasar. Inti narasi bullish terletak pada cadangan pesanan yang belum dipenuhi (RPO) sebesar $99,4 miliar, daftar klien yang berkembang (termasuk Anthropic, Meta, Jane Street), dan hubungan yang sangat erat dengan NVIDIA sebagai investor, pemasok, dan pelanggan. Pihak bearish berfokus pada melemahnya profitabilitas: margin laba operasional (setelah disesuaikan) hanya 1%, meskipun margin EBITDA tinggi (56%), karena biaya infrastruktur melonjak. Mereka juga mengkhawatirkan pengeluaran modal yang sangat agresif ($6,8 miliar di Q1) dan utang yang membengkak ($25 miliar). Pola penjualan saham oleh internal perusahaan (insider selling) juga menambah tekanan. Duan Yongping, dengan posisi CoreWeave yang hanya 0,12% dari total portofolionya, tampaknya menganggap investasi ini sebagai taruhan kecil dan eksplorasi di hilir rantai pasokan daya komputasi AI, dengan taruhan utamanya tetap pada NVIDIA. CEO CoreWeave Michael Intrator berargumen bahwa pasar terlalu fokus pada harga saham (pohon) dan kehilangan pandangan atas prospek jangka panjang perusahaan (hutan), menjanjikan pemulihan margin di kuartak mendatang. Intinya, CoreWeave menjadi medan pertempuran antara narasi pertumbuhan masa depan yang kuat dan realitas keuangan saat ini yang menantang. Laporan keuangan Q2 nanti akan menjadi ujian penting untuk melihat apakah janji pemulihan margin dapat terwujud.

marsbit24m yang lalu

CoreWeave yang Diborong Duan Yongping, Kini Berubah Jadi Medan Perang Sengit antara Bull dan Bear

marsbit24m yang lalu

Festival "Burning Man" Teknologi Versi China Pertama Kali Hadir di Shanghai, muShanghai Bentuk "Kota Kilat" Geeks Global

"muShanghai: Festival Teknologi 'Burning Man' ala China Pertama Kali Hadir di Shanghai, Membangun 'Kota Pop-up' untuk Geeks Global" Shanghai, 10 Mei - 6 Juni 2026: MuShanghai, bagian dari komunitas sumber terbuka global The Mu, meluncurkan eksperimen "Kota Pop-up" selama 28 hari di Pusat Alibaba Hongqiao. Acara ini bertujuan menciptakan "kota paralel" bagi para geeks global, menghimpun lebih dari 800 peserta dari 50+ negara, termasuk mantan insinyur OpenAI, pendiri startup, dan kontributor inti OpenClaw. Acara bertema "festival teknologi Burning Man" ini menampilkan empat minggu tematik: * **Minggu AI (11-15 Mei):** Diskusi model AI besar, keamanan AI, dan aplikasi konsumen dengan pakar dari perusahaan seperti Kimi, Zhipu AI. * **Minggu Biotek (18-22 Mei):** Eksplorasi teknologi anti-penuaan, laboratorium bertenaga AI, dan penelitian panjang umur. * **Minggu Robotika (25-29 Mei):** Lomba robot, peragaan busana cyber, dan showcase perangkat keras. * **Minggu Budaya (1-6 Juni):** Dialog tentang masa depan masyarakat, budaya cyberpunk, dan game indie. Setiap Jumat diadakan "Pasar Inovator" outdoor untuk memamerkan proyek. Prinsip "Build in Public" diterapkan untuk mendorong iterasi berbasis umpan balik. Pusat Alibaba Hongqiao, sebagai tuan rumah bersama, menyediakan dukungan一站式 (layanan satu atap) bagi talenta internasional. The Mu, komunitas di balik acara ini, memiliki rekam jejak membangun hub inovasi serupa di Argentina, San Francisco, dan untuk Ekspo Osaka 2025. MuShanghai merupakan jendela penting bagi ekosistem inovasi China untuk terhubung dengan dunia global, menekankan kolaborasi manusia dan teknologi di era AI.

marsbit24m yang lalu

Festival "Burning Man" Teknologi Versi China Pertama Kali Hadir di Shanghai, muShanghai Bentuk "Kota Kilat" Geeks Global

marsbit24m yang lalu

Undang-Undang CLARITY: Asosiasi Perbankan Dorong Revisi Perjanjian Hasil (Yield) – Detail

Kelompok perdagangan perbankan AS mendesak amendemen pada kompromi imbal hasil (yield) stablecoin dalam RUU CLARITY yang dinantikan, menjelang tahap mark-up minggu depan. RUU tersebut bertujuan melarang semua bentuk bunga pasif seperti deposito pada stablecoin untuk mencegah persaingan dengan tabungan bank tradisional, namun mengizinkan imbalan terkait aktivitas nyata seperti staking. Dalam surat terbaru, asosiasi perbankan mengusulkan revisi bahasa di Bagian 404(c)(1) RUU, mengganti frasa "kesetaraan fungsional dan ekonomi" dengan "secara substansial serupa" untuk memperjelas pelarangan dan mencegah penerbangan dana dari institusi keuangan tradisional. Mereka juga merekomendasikan penghapusan satu subsection yang dinilai ambigu. Namun, upaya revisi ini dilaporkan mendapat tanggapan minimal dari para pembuat undang-undang, dengan seorang asisten Senat menyebutnya "cukup lemah". Sementara itu, Komite Perbankan Senat dijadwalkan mengadakan sesi mark-up untuk RUU CLARITY pada 14 Mei, sebagai langkah kunci sebelum proses voting di Senat dan DPR.

bitcoinist13j yang lalu

Undang-Undang CLARITY: Asosiasi Perbankan Dorong Revisi Perjanjian Hasil (Yield) – Detail

bitcoinist13j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow