Penurunan tajam DAO Maker (DAO)

Ringkasan: Pada 18 April 2026, Kelp DAO, protokol restaking di EigenLayer, mengalami eksploitasi senilai $292 juta melalui kerentanan konfigurasi jembatan LayerZero-nya. Penyerang mengeksploitasi setelan DVN (Decentralized Verifier Network) 1-of-1, yang memungkinkan pesan lintas rantai palsu disetujui hanya dengan satu tanda tangan yang disusupi. Ini memicu pencetakan 116.500 rsETH tanpa jaminan di Ethereum, yang kemudian digunakan sebagai jaminan di Aave dan platform lain untuk meminjam ETH sungguhan. 12 hari sebelumnya, pada 6 April, alat audit keamanan AI sumber terbuka telah memperingatkan tentang risiko ini, mencatat kurangnya transparansi dalam konfigurasi DVN dan kemiripannya dengan pola serangan Ronin/Harmony. Laporan tersebut menyoroti kegagalan tata kelola, ketergantungan pada satu titik, dan kurangnya mekanisme asuransi. Kerusakan meluas ke banyak chain, menyebabkan bad debt besar di Aave dan membekukan dana pengguna. Insiden ini menunjukkan bahwa keamanan DeFi melampaui kode kontrak, mencakup konfigurasi, tata kelola, dan arsitektur.

Pada 18 April, serangan pada bridge lintas rantai Kelp DAO menyebabkan pencetakan 116.500 rsETH tanpa jaminan aset nyata, yang kemudian disetorkan ke Aave untuk meminjam WETH. Aave membekukan pasar dalam beberapa jam, dengan potensi kerugian sekitar $195 juta. Sementara itu, SparkLend dari ekosistem MakerDAO tidak mengalami kerugian. Spark memutuskan untuk menghentikan pasokan rsETH baru pada 29 Januari karena penggunaan rendah dan konsentrasi pengguna tunggal, sebagai bagian dari pembersihan aset berkala. Di hari yang sama, Aave justru meluncurkan E-Mode untuk rsETH dengan LTV 93% untuk menarik lebih banyak likuiditas. Keputusan Spark didasarkan pada logika biaya marjinal vs. manfaat marjinal, sementara Aave berfokus pada peluang pertumbuhan pasar. Spark juga memiliki pertahanan tambahan seperti batas pasokan dan peminjaman yang dibatasi kecepatan, serta oracle tiga sumber untuk mitigasi risiko. Perbedaan pendekatan ini menghasilkan dampak finansial yang sangat berbeda.

Aave DAO telah mengusulkan kontribusi 25.000 ETH dari kasnya untuk upaya pemulihan pasca-eksploitasi Kelp DAO pada 18 April. Serangan ini mengakibatkan kerugian sekitar 163.183 ETH, dengan celah pendanaan tersisa sekitar 75.081 ETH setelah berbagai upaya pemulihan. Koalisi "DeFi United" yang melibatkan EtherFi, Lido, Ethena, dan Mantle telah berkomitmen memberikan dukungan dana dan fasilitas kredit. Proposal Aave DAO menjadi bagian kunci dalam strategi pemulihan untuk mengembalikan integritas sistem dan dana pengguna, dengan kontribusi yang tidak akan berkurang meski ada donasi tambahan di masa depan.

Pada tanggal 26 Mei, Kelp DAO akhirnya menyelesaikan proses pengisian kembali 11,65 ribu rsETH dalam 37 hari, menyelesaikan krisis pencadangan 1:1. Namun, badai belum benar-benar reda bagi Aave. Masih ada 30.766 ETH yang dibekukan oleh Komite Keamanan Arbitrum yang menunggu keputusan pengadilan di New York pada 5 Juni. Selain itu, TVL Aave anjlok lebih dari $120 miliar dalam sebulan setelah insiden rsETH. Biayanya tidak hanya pada TVL. Insiden ini merusak reputasi dan kepercayaan institusional terhadap Aave. Meskipun inisiatif 'DeFi United' yang belum pernah terjadi sebelumnya—didukung oleh pendiri, perusahaan, dan perbendaharaan protocol—berhasil menutupi kerugian ~$400 juta, ini adalah kartu yang hanya bisa digunakan sekali. Ikan paus seperti Justin Sun telah memindahkan dana besar mereka ke pesaing seperti Spark. Strategi masa depan Aave bertumpu pada tiga lapisan: mempertahankan V3 sebagai mesin pendapatan, mengembangkan V4 untuk skenario baru, dan mengejar aliran RWA institusional melalui Horizon. Namun, V4 terhambat oleh perselisihan tata kelola internal, sementara pertumbuhan Horizon bergantung pada kecepatan adopsi keuangan tradisional. Meski masih menjadi protocol peminjaman terbesar, Aave harus memulihkan kepercayaan dan mengejar pertumbuhan di dua front yang penuh tantangan ini, tanpa bisa mengandalkan 'DeFi United' untuk kedua kalinya.

Serangan eksploitasi pada proyek Kelp DAO pada April 2026, di mana peretas memalsukan token rsETH senilai $292 juta untuk meminjam aset nyata dari Aave, memicu penarikan dana besar-besaran sebesar $15 miliar. Insiden ini menyingkap kelemahan mendasar dalam model pinjaman DeFi dengan kumpulan dana bersama (pool bersama) seperti yang digunakan Aave, di mana semua deposito digabungkan dan aturan risiko ditentukan oleh suara komunitas DAO. Kerentanan satu aset dapat membekukan seluruh pool, dan keputusan tata kelola yang didominasi oleh peminjam berisiko tinggi dapat merugikan deposan yang lebih aman. Sebaliknya, protokol seperti Morpho menggunakan model pasar terisolasi, di mana setiap pasar pinjaman berdiri sendiri dengan parameter tetap dan dikelola oleh lembaga ahli. Pendekatan ini membatasi risiko hanya pada pasar yang terdampak, seperti yang terlihat ketika eksploitasi yang sama hanya menyebabkan eksposur $1 juta di Morpho. Selain itu, Morpho menghilangkan biaya tersembunyi dari dana menganggur yang melekat pada pool bersama dan menawarkan suku bunga yang lebih efisien. Pilihan institusi seperti Coinbase, Apollo Global Management, dan Anchorage Digital untuk membangun di atas Morpho, serta potensi pertumbuhan besar aset stablecoin yang diatur, semakin menggarisbawahi keunggulan model pasar terisolasi yang memungkinkan kontrol dan kepatuhan risiko mandiri, berbeda dengan ketergantungan pada tata kelola DAO di model pool bersama.