Kelp DAO $290M Hack mengguncang kepercayaan ekosistem DeFi $145B

Pencurian aset digital yang memecahkan rekor telah mengacaukan ekosistem keuangan terdesentralisasi (DeFi) senilai kira-kira 980 miliar dolar AS. Pada 18 April 2024 (waktu Korea), proyek DeFi Kelp DAO mengalami kebobolan yang mengakibatkan pencurian rsETH senilai 290 juta dolar AS (Kelp DAO Restaked Ethereum), melampaui peretasan Drift DEX senilai 280 juta dolar AS pada 2 April, menjadikannya pencurian aset digital terbesar tahun ini berdasarkan volume arus keluar, menurut materi sumber.

Mekanisme Serangan dan Eksploitasi Bridge

Meski insiden ini bermula dari Kelp DAO, dampaknya merembet ke seluruh ekosistem DeFi, memengaruhi proyek bridge yang menghubungkan berbagai jaringan blockchain serta platform pinjam-meminjam terdesentralisasi. Kelp DAO beroperasi sebagai penerbit token liquid restaking dalam ekosistem restaking Ethereum, memungkinkan pengguna menyetor ETH dan menerima rsETH untuk digunakan sebagai jaminan atau likuiditas pada layanan DeFi lainnya.

Pelaku mengeksploitasi bridge berbasis LayerZero yang digunakan Kelp DAO untuk secara curang menerbitkan sekitar 116.500 token rsETH dan mengalihkan dana ke luar. Pada 20 April, LayerZero menjelaskan di X (sebelumnya Twitter) bahwa pelaku, yang diduga sebagai kelompok peretas Korea Utara Lazarus, memanipulasi infrastruktur RPC lapisan bawah yang digunakan jaringan verifier terdesentralisasinya (DVN) untuk mengonfirmasi transaksi. Pelaku lalu melakukan serangan DDoS pada endpoint RPC yang sah, memaksa failover ke infrastruktur yang telah dikompromikan, sehingga transaksi yang tidak terverifikasi diproses seolah-olah sah.

Sengketa Tanggung Jawab: LayerZero vs. Kelp DAO

Poin krusial yang memicu pertentangan muncul terkait penggunaan struktur DVN tunggal oleh Kelp DAO. LayerZero menyatakan pada 20 April bahwa pihaknya telah merekomendasikan proyek terintegrasi mengadopsi arsitektur multi-DVN yang menggabungkan beberapa validator independen. Namun, Kelp DAO memakai konfigurasi ‘1-of-1’ yang hanya mengandalkan DVN tunggal LayerZero pada saat kebobolan. Satu validator menciptakan satu titik kegagalan dengan mekanisme penyaringan independen yang tidak memadai.

Kelp DAO menanggapi pada 21 April melalui X, dengan menegaskan bahwa konfigurasi DVN ‘1-of-1’ yang dipersengketakan bukanlah pilihan luar biasa, melainkan disajikan sebagai struktur bawaan dalam dokumentasi LayerZero dan contoh penerapannya. Kedua pihak pada dasarnya saling menyalahkan atas terjadinya insiden tersebut.

Dampak Berantai: Aave dan Paparan Risiko Sistemik

Kebobolan meluas hingga melampaui sistem internal Kelp DAO. Pelaku menyetor rsETH yang diterbitkan secara curang sebagai jaminan di platform pinjam-meminjam DeFi utama termasuk Aave, dengan meminjam aset likuid seperti ETH. Akibatnya, timbul utang buruk lebih dari 200 juta dolar AS yang menumpuk di Aave. Meskipun kontrak pintar Aave tidak diretas secara langsung, platform tersebut menanggung kerugian karena nilai aset jaminan eksternal (rsETH) anjlok.

Insiden ini menyingkap kerentanan struktural bawaan pada platform pinjam-meminjam DeFi. Platform-platform ini beroperasi dengan asumsi bahwa nilai jaminan dan sistem likuidasi berjalan normal. Ketika jaminan berasal dari peretasan bridge yang menciptakan aset tak bernilai, ekonomi yang mendasari gagal—yang tampak seperti pinjaman dengan jaminan yang semestinya menjadi kerugian platform. Kebobolan ini menunjukkan bahwa platform pinjam-meminjam besar harus secara bersama mengelola struktur penerbitan aset eksternal, arsitektur bridge, dan risiko validator.

Dana Pemulihan DeFi United Melampaui Kerugian

Untuk menanggulangi dampaknya, industri DeFi yang dipimpin Aave membentuk inisiatif pemulihan kolektif bernama “DeFi United.” Dana ini memanfaatkan kontribusi dari Ethereum dari berbagai protokol dan peserta untuk memulihkan jaminan rsETH serta memungkinkan pengguna terdampak memulihkan aset mereka.

Per 30 April, dana pemulihan telah melampaui jumlah kerugian. Menurut situs web DeFi United, sekitar 137.610 ETH telah dikumpulkan, setara 307,15 juta dolar AS—sekitar 6% di atas jumlah pencurian 290 juta dolar AS. Kontributor utama termasuk jaringan Layer 2 Arbitrum, perusahaan infrastruktur Ethereum Consensys dan pendiri Joseph Lubin, proyek Layer 2 Mantle, Aave dan pendiri Stani Kulechov, protokol restaking EtherFi, LayerZero, proyek liquid staking Ethereum Lido, serta proyek penyimpanan terdesentralisasi Golem. Namun, sebagian dana yang terkumpul masih bergantung pada pemungutan suara DAO dan prosedur pelepasan dana beku Arbitrum, yang menunjukkan kompensasi akan didistribusikan secara bertahap. Para pemangku kepentingan besar ekosistem secara efektif menutup kebobolan melalui kontribusi terkoordinasi.

Tantangan Pemulihan Kepercayaan: Tata Kelola dan Ancaman Ditingkatkan AI

Para ahli mengingatkan bahwa membangun kembali kepercayaan DeFi akan memerlukan waktu meski pemulihan dana berhasil. Saat penahanan insiden, Aave membekukan rsETH, dan Komite Keamanan Arbitrum membekukan sekitar 30.766 ETH dalam dana milik peretas. Meski langkah darurat ini mencegah kerusakan lebih lanjut, langkah itu sekaligus memunculkan pertanyaan tentang desentralisasi yang ditekankan DeFi. Mong Seo-woo, co-founder Undefined Labs, menyatakan pada 30 April kepada Digital Asset: “Insiden ini meningkatkan skeptisisme tentang apa yang membedakan DeFi dari keuangan tradisional jika komite atau struktur tata kelola tertentu dapat membekukan dana saat krisis. Ke depan, komunitas perlu membahas lebih serius kerangka tata kelola terdesentralisasi untuk situasi luar biasa seperti insiden peretasan.”

Analisis pakar juga menyoroti kecanggihan serangan DeFi yang ditingkatkan AI. Para peneliti mengamati bahwa kecerdasan buatan mempercepat penemuan celah, pembuatan kode berbahaya, serangan phishing, dan rekayasa sosial. Verena Ross, Ketua European Securities and Markets Authority (ESMA), memperingatkan pada 24 April bahwa AI dapat meningkatkan risiko dan kecepatan serangan siber di sektor keuangan. Media keamanan AS Wired melaporkan pada 22 April bahwa kelompok peretas Korea Utara telah memanfaatkan AI untuk menulis kode berbahaya dan membuat situs web perusahaan palsu untuk pencurian aset digital.

Song Chang-seok, Direktur Web3 di Blob, mengatakan kepada Digital Asset: “Pada akhirnya, DeFi tidak dapat memulihkan kepercayaan hanya dengan mengandalkan donasi pascainsiden atau langkah pembekuan. Industri ini harus mengurangi struktur dengan validator tunggal, terus memantau infrastruktur krusial seperti bridge, RPC, dan oracle, serta menerapkan sistem deteksi anomali dan pemblokiran real-time berbasis AI untuk melawan serangan otomatis.”

FAQ

Q: Berapa total nilai kebobolan Kelp DAO?
A: Pencurian melibatkan rsETH senilai 290 juta dolar AS, menjadikannya pencurian aset digital terbesar tahun ini berdasarkan volume arus keluar per April 2024.

Q: Bagaimana pelaku mengeksploitasi bridge LayerZero?
A: Menurut pernyataan LayerZero pada 20 April, pelaku memanipulasi infrastruktur RPC lapisan bawah yang digunakan DVN tunggal Kelp DAO, lalu melakukan serangan DDoS pada endpoint yang sah untuk memaksa failover ke infrastruktur yang telah dikompromikan, sehingga transaksi yang tidak terverifikasi dapat diproses sebagai transaksi valid.

Q: Apakah dana pemulihan DeFi United berhasil menutup kerugian?
A: Ya, per 30 April dana tersebut telah mengumpulkan sekitar 137.610 ETH (307,15 juta dolar AS), melampaui kerugian 290 juta dolar AS sekitar 6%, meski distribusi penuh tetap bergantung pada prosedur tata kelola.