Pada 18 April 2026, pukul 17.35 UTC, jembatan lintas rantai rsETH milik Kelp DAO mengalami serangan besar. Dalam waktu hanya 46 menit, penyerang berhasil mencetak sekitar 116.500 rsETH dari "udara"—senilai kurang lebih $293 juta pada saat itu, atau sekitar 18% dari total pasokan token yang beredar. Penyebab utamanya bukanlah bug pada smart contract, melainkan parameter deployment yang terlewatkan: Kelp DAO mengonfigurasi DVN (Decentralized Verifier Network) mereka pada 1/1—artinya satu node validator saja dapat menyetujui pesan lintas rantai. Penyerang berhasil mengkompromikan infrastruktur RPC yang digunakan validator tunggal ini, lalu memalsukan pesan lintas rantai yang menyatakan "aset rsETH telah dikunci di chain sumber." Tanpa verifikasi chain sumber yang kuat, kontrak jembatan Kelp langsung mengeksekusi operasi pelepasan aset.
Dokumentasi resmi LayerZero merekomendasikan konfigurasi DVN 2/2, yang menggunakan beberapa validator untuk redundansi. Namun, Kelp DAO justru menetapkan threshold pada level paling ekstrem, yakni "1 dari 1." Pengaturan ini menciptakan satu titik kegagalan yang sangat rentan dieksploitasi penyerang. Alat audit keamanan tradisional seperti Slither dan Mythril fokus pada kerentanan kode smart contract, namun hampir tidak berdaya menghadapi risiko pada level konfigurasi. Hal ini mengungkap masalah struktural: keamanan protokol DeFi tidak hanya bergantung pada kualitas kode, tetapi juga pada kehati-hatian dalam konfigurasi deployment.
Bagaimana Agunan Palsu Masuk ke Sistem Peminjaman Aave
Setelah memperoleh rsETH tanpa jaminan ini, penyerang tidak langsung menjualnya di pasar sekunder—likuiditas rsETH tergolong tipis, dan penjualan dalam jumlah besar akan menyebabkan slippage yang parah. Sebagai gantinya, penyerang menggunakan "token udara" ini sebagai agunan, lalu mendepositkannya ke protokol peminjaman utama seperti Aave V3, dan meminjam sekitar $236 juta dalam bentuk WETH dan ETH sungguhan. Inilah titik balik utama serangan: penyerang tidak meretas kontrak inti Aave, melainkan memanfaatkan sifat komposabilitas DeFi, menggunakan celah Kelp DAO sebagai batu loncatan untuk meminjam aset on-chain nyata dari Aave, dan meninggalkan "agunan udara" yang tak bernilai.
Sebagai token restaking cair, aset dasar rsETH seharusnya berasal dari cadangan nyata di jembatan lintas rantai. Setelah cadangan tersebut terkuras, nilai rsETH langsung kehilangan patokannya. Namun, oracle Aave tetap menilai harga token agunan ini pada level sebelum serangan, sehingga posisi pinjaman tidak dapat dilikuidasi secara efektif. Tim Aave bergerak cepat dengan membekukan pasar rsETH di Ethereum mainnet, serta di Arbitrum, Optimism, Base, Mantle, dan Linea, serta mengatur rasio Loan-to-Value (LTV) rsETH menjadi nol—secara teknis memblokir semua aktivitas peminjaman baru.
Mengapa Utilisasi Pool Melonjak hingga 100%?
Pasca serangan, Aave mengalami lonjakan penarikan likuiditas secara besar-besaran. Penarikan panik menyebabkan utilisasi pool WETH mencapai 100%—artinya seluruh likuiditas yang tersedia telah dipinjam, dan deposan tidak dapat menarik dana. Pada waktu yang sama, tingkat bunga tahunan untuk USDT melonjak ke 14,99%, sementara suku bunga simpanan naik menjadi 13,39%. Fluktuasi tingkat bunga yang ekstrem ini mencerminkan ketidakseimbangan mendadak antara pasokan dan permintaan likuiditas.
Fenomena ini merupakan kombinasi antara krisis kredit dan krisis likuiditas. Mekanisme suku bunga memang mampu menangani fluktuasi likuiditas normal, namun tidak dapat mengatasi krisis kredit yang berakar pada "keaslian" agunan. Ketika deposan menyadari bahwa agunan rsETH mungkin tidak dapat ditebus, langkah rasional adalah segera menarik dana. Jika semua orang melakukan hal yang sama, likuiditas pool langsung mengering. Inilah yang membuat dampak kerentanan Kelp berlipat ganda—kontrak inti Aave tetap utuh, namun keruntuhan kredit agunan di hulu langsung memicu tekanan likuiditas di hilir.
Logika di Balik Hilangnya $9 Miliar TVL
Data menunjukkan TVL (Total Value Locked) Aave turun dari sekitar $26,4 miliar sebelum insiden menjadi sekitar $18 miliar dalam 48 jam—kehilangan sekitar $8,4 miliar, atau lebih dari 31%. Pada periode yang sama, total TVL DeFi di seluruh chain turun dari sekitar $99,49 miliar menjadi $86,29 miliar, penurunan sekitar $13,2 miliar. Jika memasukkan penarikan dari pasar terkait seperti restaking cair dan strategi hasil, total nilai yang hilang dari ekosistem DeFi mendekati $9 miliar.
Penarikan skala whale menjadi pendorong utama anjloknya TVL. Data on-chain menunjukkan Abraxas Capital menarik $392 juta, MEXC menarik $431 juta, dan satu whale lainnya menarik lebih dari $400 juta dalam satu transaksi. Gelombang penarikan besar-besaran ini jelas merupakan langkah lindung nilai risiko: dengan jaminan rsETH yang masih belum pasti, menanggung eksposur terhadap risiko terkait rsETH menjadi tidak rasional. Skala dan kecepatan penarikan ini mencetak rekor baru di DeFi, menyoroti repricing risiko kredit aset lintas rantai yang sangat agresif di pasar.
Utang Macet $124 Juta atau $230 Juta? Perdebatan Dua Skenario Penyelesaian
Besaran akhir utang macet akan bergantung pada skenario penyelesaian yang dipilih oleh tata kelola Aave. Mengutip laporan dari penyedia risiko LlamaRisk, Aave menguraikan dua skenario utama.
Skenario 1 (Kerugian Disosialisasikan di Semua Chain): Kerugian dibagi proporsional ke semua pemegang rsETH. LlamaRisk memperkirakan hal ini akan menyebabkan rsETH depeg sekitar 15%, dengan Aave menanggung utang macet sekitar $124 juta.
Skenario 2 (Isolasi L2): Kerugian dibatasi hanya pada rsETH di chain L2, sementara rsETH di Ethereum mainnet tetap utuh. Namun, pendekatan ini justru menghasilkan utang macet yang lebih besar—agunan lintas rantai akan didiskon sebesar 73,54%, dan estimasi utang macet Aave melonjak hingga sekitar $230,1 juta, dengan Mantle menyumbang 71,45% dari selisih dan Arbitrum 26,67%.
Perbedaan antara dua rencana ini hampir $100 juta. Pada intinya, ini adalah persoalan "politik" alokasi risiko: apakah kerugian harus ditanggung bersama oleh seluruh pengguna di semua chain, atau hanya oleh pemegang di chain tertentu? Treasury DAO Aave saat ini memiliki cadangan sekitar $181 juta; skenario dua akan melebihi buffer ini. Selain itu, cadangan keamanan Umbrella bernilai $80–100 juta, dan DAO Aave menghasilkan pendapatan $145 juta pada 2025. Secara teori, sumber daya ini dapat membantu menutup utang macet, namun cara melakukannya tanpa merugikan pengguna inti protokol tetap menjadi tantangan tata kelola yang sulit.
Dari Titik Kegagalan Tunggal ke Risiko Sistemik—Penyebaran Risiko Likuidasi
Pendiri DeFiLlama, 0xngmi, menguraikan tiga jalur yang mungkin diambil KelpDAO, masing-masing dengan kekurangan tersendiri.
Jalur 1 (Kerugian Disosialisasikan): KelpDAO mengenakan potongan (haircut) 18,5% pada semua pemegang rsETH. Dengan sekitar 666.000 rsETH diagunkan di Aave, dan asumsi semua berada pada LTV likuidasi 95%, hal ini akan menghasilkan utang macet sekitar $216 juta.
Jalur 2 (Isolasi L2): KelpDAO hanya melindungi rsETH mainnet, sementara rsETH L2 dianggap tidak bernilai. Saat ini, Aave L2 memiliki sekitar $359 juta rsETH sebagai agunan; jika semua dimanfaatkan maksimal, utang macet bisa mencapai $341 juta, tanpa perlindungan protokol Umbrella—berpotensi memicu keruntuhan pasar di Arbitrum, Mantle, dan Base.
Jalur 3 (Repayment Snapshot): Hanya pemegang rsETH sebelum serangan yang mendapatkan penggantian penuh berdasarkan snapshot. Namun, karena dana berpindah sangat cepat pasca serangan dan protokol DeFi pada dasarnya adalah pool likuiditas, secara teknis hampir mustahil membedakan antara tranche simpanan.
Ketiga jalur ini menegaskan satu hal: risiko likuidasi tidak menyebar secara linier, melainkan menunjukkan "stratifikasi risiko" yang jelas—eksposur sangat berbeda antara mainnet dan L2, serta antar L2 yang berbeda. Divergensi struktural ini membuat distribusi akhir utang macet menjadi sangat tidak pasti.
Pelajaran Struktural—Batasan Keaslian Agunan di DeFi
Dampak paling signifikan dari insiden ini terhadap DeFi bukanlah besarnya utang macet, melainkan titik buta struktural yang terungkap dalam manajemen risiko agunan. Kontrak inti Aave memang tidak diretas, namun keruntuhan kredit agunan di hulu berdampak langsung pada peminjaman di hilir. Artinya, keamanan protokol DeFi kini tidak lagi sekadar soal "kode bebas bug", tetapi juga soal keandalan seluruh rantai teknis dan tata kelola di balik agunan yang diterima.
Tumpukan bridge lintas rantai, restaking, dan protokol lending berarti setiap titik lemah dalam rantai agunan dapat diperbesar menjadi guncangan sistemik. Ketika "bobot" token agunan tidak lagi setara dengan aset dasar nyata, model risiko protokol lending bergeser dari "risiko volatilitas" menjadi "risiko keaslian"—skenario yang jarang dicakup oleh stress test standar. Aave telah menetapkan LTV rsETH menjadi nol dan membekukan cadangan WETH di semua pasar terdampak, namun ini adalah langkah reaktif yang hanya bisa membatasi dampak lanjutan, bukan memulihkan kerugian yang sudah terjadi.
Ke depan, protokol lending DeFi perlu meninjau ulang standar agunan untuk token lintas rantai dan restaking secara menyeluruh. Konfigurasi validator tunggal, keamanan validasi pesan lintas rantai, dan mekanisme verifikasi keaslian agunan akan menjadi topik utama dalam kerangka manajemen risiko.
Kesimpulan
Celah konfigurasi DVN 1/1 di Kelp DAO memang menjadi pemicu langsung insiden ini, namun masalah yang lebih mendalam adalah kegagalan sistemik DeFi dalam memverifikasi keaslian agunan. Penyerang memalsukan pesan lintas rantai untuk mencetak sekitar $293 juta rsETH dari "udara", lalu menggunakannya sebagai agunan di Aave untuk meminjam aset nyata, yang akhirnya menghasilkan utang macet sebesar $124–230 juta. TVL menguap sekitar $8,4 miliar hanya dalam 48 jam, dengan total arus keluar DeFi melebihi $13 miliar. Utilisasi pool mencapai 100%, dan suku bunga berfluktuasi liar. Tata kelola Aave kini dihadapkan pada pilihan sulit—kerugian disosialisasikan atau isolasi L2—masing-masing dengan konsekuensi dan kontroversi besar. Peristiwa ini menandai pergeseran paradigma dalam manajemen risiko DeFi: keamanan protokol kini bergantung tidak hanya pada kualitas kode, tetapi juga pada keandalan seluruh rantai teknis dan tata kelola di balik agunan. Konfigurasi bridge lintas rantai, redundansi validator, dan pemeriksaan keaslian agunan akan menjadi garda terdepan pengendalian risiko DeFi berikutnya.
Pertanyaan yang Sering Diajukan (FAQ)
T: Apakah smart contract Aave sendiri berhasil diretas?
J: Tidak. Kerentanan inti terletak pada konfigurasi bridge lintas rantai Kelp DAO. Kontrak inti Aave tidak diretas; ini merupakan kasus penyebaran risiko "kontaminasi hulu".
T: Siapa yang pada akhirnya akan menanggung utang macet Aave?
J: Hal ini bergantung pada keputusan akhir tata kelola Aave. Pilihan utama adalah: kerugian disosialisasikan ke seluruh pemegang rsETH (sekitar $124 juta utang macet), atau isolasi L2 (sekitar $230 juta utang macet).
T: Bagaimana kinerja harga token AAVE?
J: Per 22 April 2026, harga AAVE secara real-time di Gate adalah sekitar $91,16. Sebelum insiden, harga AAVE berada di kisaran $115, turun lebih dari 20%.
T: Apa itu konfigurasi DVN, dan mengapa 1/1 berisiko?
J: DVN (Decentralized Verifier Network) adalah mekanisme validasi pesan dalam protokol lintas rantai LayerZero. Pengaturan 1/1 berarti satu validator saja dapat menyetujui pesan lintas rantai; jika node tersebut dikompromikan, penyerang dapat memalsukan pesan apa pun.
T: Apakah aset dasar rsETH saat ini aman?
J: Kelp belum merilis rekonsiliasi akhir antara cadangan dan pasokan yang beredar. Jaminan rsETH di semua chain masih belum pasti, yang menjadi alasan utama Aave tidak dapat melakukan likuidasi.
T: Apa implikasi jangka panjang dari peristiwa ini bagi DeFi?
J: Insiden ini mengungkap kurangnya verifikasi keaslian agunan lintas rantai secara sistemik. Ke depan, protokol lending akan memberlakukan standar yang lebih ketat untuk token lintas rantai dan restaking, serta konfigurasi validator tunggal kemungkinan besar akan dihapuskan.
