Wu Blockchain melaporkan bahwa Kelp DAO mengalami eksploitasi cross-chain besar-besaran yang menguras sekitar 116.500 rsETH, bernilai hampir $292 juta. Insiden ini menimbulkan kekhawatiran baru tentang keamanan protokol, terjadi kurang dari setahun setelah gangguan sebelumnya yang terkait dengan bug kontrak pintar
Respons Kelp DAO Cegah Upaya Eksploitasi Tambahan
Menurut data blockchain, serangan pada Kelp DAO mengeksploitasi kelemahan dalam komunikasi cross-chain, khususnya menargetkan mekanisme bridge yang digunakan untuk mentransfer aset antar jaringan. Eksploitasi dieksekusi melalui panggilan ke fungsi "Iz Receive" pada EndpointV2 LayerZero, yang akhirnya memicu pelepasan dana ke dompet yang dikendalikan penyerang.
Penyelidik on-chain ZachXBT termasuk yang pertama mengungkap pelanggaran tersebut, memperkirakan kerugian melebihi $280 juta di Ethereum dan Arbitrum. Penyelidik blockchain itu juga mencatat bahwa alamat serangan awalnya didanai melalui Tornado Cash, menunjukkan upaya yang disengaja untuk menyembunyikan sumber pendanaan untuk serangan yang sangat terkoordinasi ini.
Earlier today we identified suspicious cross-chain activity involving rsETH. We have paused rsETH contracts across mainnet and several L2s while we investigate.
We are working with @LayerZero_Core, @unichain, our auditors and top security experts on RCA.
We will keep you...
— Kelp (@KelpDAO) April 18, 2026
Menanggapi serangan ini, Kelp DAO segera menghentikan semua kontrak rsETH di mainnet dan jaringan L2 yang terhubung. Protokol juga membekukan aktivitas di seluruh kontrak dan sistem intinya yang mencakup fungsi deposit, penarikan, dan oracle. Menurut Kelp DAO, investigasi yang sedang berlangsung dilakukan dengan LayerZero dan Unichain.
Patut dicatat, penyerang mencoba dua transaksi tambahan untuk menguras 40.000 rsETH lagi, bernilai hampir $100 juta. Namun, langkah cepat Kelp DAO memastikan kedua upaya itu gagal, mencegah kerugian meningkat menjadi $391 juta.
Aave Bekukan Kontrak rsETH
Dalam berita lain, dampaknya dengan cepat menyebar melampaui Kelp DAO, dengan protokol peminjaman merasakan tekanan langsung. Aave, salah satu platform peminjaman DeFi terbesar, merespons dengan membekukan pasar rsETH di seluruh penerapan V3 dan V4-nya.
Namun, Aave telah menjelaskan bahwa kontrak pintarnya sendiri tidak dieksploitasi, dan tindakan ini murni pencegahan untuk membatasi paparan utang lebih lanjut terhadap rsETH sambil mereka menilai situasi. Manajemen Aave juga berkomitmen untuk mengevaluasi strategi mitigasi potensial jika muncul utang buruk dari eksploitasi ini.
The rsETH markets on Aave V3 and Aave V4 have been frozen. Aave's contracts have not been exploited and this is an exploit related to rsETH.
The freeze follows an exploit of the Kelp DAO rsETH bridge. Freezing the rsETH markets prevents new deposits and borrowing against rsETH...
— Aave (@aave) April 18, 2026
rsETH sendiri adalah token restaking likuid yang dirancang untuk mewakili ETH yang di-stake sambil memungkinkan pengguna mendapatkan hasil tambahan melalui strategi restaking. Ini memainkan peran kunci dalam DeFi cross-chain, memungkinkan modal bergerak mulus di berbagai jaringan, termasuk Arbitrum, Base, dan Scroll. Skala eksploitasi ini sangat merusak karena dana yang dicuri mewakili sekitar 18% dari total pasokan beredar rsETH, yang merupakan pukulan signifikan bagi likuiditas dan kepercayaan pengguna.
