#KelpDAO跨链桥遭攻击 Kelp DAO 2,9 miliar dolar AS pembantaian besar: spiral kematian dari pinjaman non-isolasi dan altar peti mati DeFi

Pada dini hari April 2026 ini, waktu blokchain tetap tak tergoyahkan dalam hitungan puluhan detik, tetapi dalam beberapa blok yang bergantian ini, 2,9 miliar dolar AS dalam bentuk uang nyata seperti jatuh ke lubang hitam bintang-bintang, hilang tanpa suara keras. Ini bukanlah perpindahan strategis dana dari dana kekayaan suatu negara tertentu, melainkan perampokan besar paling absurd dan paling kejam dalam sejarah DeFi—Kelp DAO rsETH Exploit.
Ketika semua orang terkagum-kagum dengan kemampuan kode hacker yang luar biasa, para veteran kuantitatif Wall Street dan pemain hardcore dari dunia crypto punk justru merasakan dingin menusuk tulang. Karena ini sama sekali bukan sekadar pencurian teknologi, ini adalah serangan tingkat rendah terhadap logika dasar DeFi. Hacker tidak membuka brankas, dia hanya membuktikan bahwa selembar kertas kosong bernilai mahal kepada sistem pinjaman non-isolasi, lalu secara sah mengosongkan seluruh gudang.

Akhir dari boneka Rusia, tergantung sebuah potret warisan utama jaringan utama

Untuk memahami tragedi 2,9 miliar dolar ini, Anda harus terlebih dahulu memahami alkimia Ponzi yang paling membuat orang ketagihan dan juga paling kontra intuitif di dunia Web3: token staking ulang likuiditas (LRT).
Dalam dunia keuangan tradisional, jaminan adalah jaminan, Anda meminjam uang dari bank dengan menjaminkan sebuah rumah, dan hak milik rumah itu terkunci. Tapi di kasino DeFi yang penuh hormon ini, efisiensi modal harus dieksploitasi secara maksimal. Anda memiliki satu Ethereum. Anda menyimpannya di Lido, menukarnya menjadi stETH, dan menikmati hasil staking dasar. Belum cukup, Anda juga menyimpan stETH ke dalam EigenLayer, sebuah protokol staking ulang, untuk mendapatkan biaya keamanan dari jaringan lain. Sampai di titik ini, likuiditas seharusnya sudah habis, tetapi Kelp DAO muncul dan berkata: Bro, berikan bukti kepadaku, aku akan memberimu bukti lain yang disebut rsETH. Inilah token staking ulang likuiditas. Dengan rsETH ini, Anda tidak hanya mendapatkan tiga kali lipat hasil, tetapi juga bisa meminjam di protokol pinjaman dan menganggapnya sebagai aset berkualitas tinggi, lalu meminjam satu Ethereum lagi. Dengan kaki kiri di atas kaki kanan, Anda tidak hanya naik ke langit, bahkan ingin membangun vila di stratosfer.
Tapi hukum fisika keuangan sangat dingin: setiap derivatif aset memperbesar risiko sistemik dasar secara eksponensial (DeFi Contagion Risk). Anda mengira rsETH yang Anda miliki adalah surat berharga yang aman, padahal sebenarnya itu adalah bom waktu yang berisi lima lapis kontrak bersarang. Selama ada celah logika di jaringan utama Ethereum, Lido, EigenLayer, atau Kelp DAO, bangunan keuangan raksasa ini bisa runtuh seketika. Dan kali ini, Kelp DAO adalah fondasi yang diambil alih.

Hacker memanfaatkan celah logika kontrak pintar, melalui serangan pinjaman kilat yang sangat tersembunyi dan manipulasi oracle, dalam waktu singkat menciptakan sejumlah besar “air rsETH” yang tidak didukung aset dasar apapun. Jika cerita berhenti di sini, itu hanyalah urusan internal Kelp DAO sendiri, paling banter adalah koin udara yang nilainya nol, dan yang membayar hanyalah para spekulan yang tergiur imbal hasil tinggi. Tapi yang benar-benar mengubah bom waktu ini menjadi bom nuklir adalah model pinjaman non-isolasi yang dihormati dalam dunia DeFi.

Pinjaman non-isolasi: menyimpan buku tabungan seluruh desa dalam laci yang tidak terkunci

Hacker sekarang memegang sejumlah rsETH yang baru dicetak dengan biaya nol. Dia tidak bodoh untuk menjual token ini di bursa terdesentralisasi (DEX), karena likuiditas yang ada tidak mampu menampung tekanan jual sebesar 2,9 miliar dolar, dan slippage akan menghabiskan hampir seluruh keuntungan. Dengan sangat elegan, hacker berbalik dan masuk ke pintu raksasa pinjaman DeFi, Aave. Inilah titik kelemahan fatal dari model pinjaman non-isolasi. Untuk “pemanfaatan dana” yang diklaim, protokol pinjaman besar suka mencampur semua uang orang dalam satu kolam besar. Dalam peleburan ini, tidak peduli Anda menyimpan USDC yang kokoh seperti batu karang, atau koin shanzhai yang bisa meledak kapan saja, selama pemilik token tata kelola protokol menyetujui voting, semuanya bisa dijadikan jaminan untuk meminjam aset nyata dari kolam tersebut.
Hacker tanpa ragu menyimpan rsETH yang berisi udara ke dalam Aave. Saat ini, di mata oracle Aave, karena harga di DEX belum runtuh, rsETH ini tetap bersinar dan bernilai tinggi. Maka, kontrak pintar yang tanpa perasaan ini secara mekanis mengikuti rasio jaminan, membuka seluruh gudang desa untuk hacker. Dengan uang kertas ini, hacker secara gila-gilaan meminjam USDC, USDT, WBTC, dan ETH nyata dari kolam.
Dalam proses ini, tidak ada yang menghalangi, semua operasi sesuai logika kode, bahkan saat transaksi dikemas, sistem menghitung bunga untuk hacker. Setelah hacker mencuci aset nyata secara cross-chain dan pergi begitu saja, yang tersisa bagi Aave dan ekosistem DeFi adalah lubang hitam tak berujung. Inilah yang disebut sebagai Aave Bad Debt (utang buruk Aave) yang menakutkan.
Para investor kecil yang awalnya hanya ingin mendapatkan keuntungan stabil 4% per tahun dari USDC, tiba-tiba mendapati uang mereka tidak bisa diambil. Kolam telah dikuras, dan gudang hanya menyisakan rsETH yang nilainya mendekati nol. Model pinjaman non-isolasi seperti tali besi tebal yang mengikat kapal perang yang seharusnya berjuang sendiri, sehingga jika satu kapal terbakar, seluruh armada tidak punya peluang melarikan diri.

Tarian spiral kematian dan mesin pemanggang likuiditas yang kejam
Setelah utang buruk terbentuk, spiral kematian DeFi bukan lagi istilah ekonomi, melainkan eksperimen sosiologis yang kejam. Ketika pasar menyadari rsETH mengalami pukulan dahsyat, harganya mulai jatuh bebas ke pusat bumi. Mekanisme likuidasi Aave akhirnya diaktifkan, berusaha melikuidasi jaminan yang ditinggalkan hacker untuk menutupi kerugian. Tapi ini adalah jalan buntu yang konyol. Likuidator bukanlah dermawan, mereka harus membeli rsETH yang nilainya menurun dengan uang nyata, lalu menjualnya di pasar untuk mendapatkan keuntungan arbitrase.
Namun, saat kenyataan bahwa rsETH tidak didukung aset nyata terbongkar, pasar bahkan tidak bisa menemukan orang bodoh yang bersedia membayar satu dolar untuk menampungnya. Tanpa likuiditas, likuidasi tidak bisa dilakukan; likuidasi gagal, utang buruk tetap tercatat; utang buruk yang tercatat menyebarkan kepanikan seperti wabah. Kepanikan ini langsung memicu penarikan massal. Semua pengguna yang masih memiliki aset di Aave panik menekan tombol penarikan. Rasio penggunaan kolam melonjak ke 100%, suku bunga pinjaman otomatis dinaikkan ke angka yang sangat absurd, berusaha menarik dana baru masuk. Tapi ini hanya memperburuk keadaan—karena para pengguna yang meminjam dengan aset sehat lainnya, tiba-tiba mendapati bunga pinjaman mereka menjadi angka astronomis, rasio jaminan memburuk secara drastis, dan akhirnya mereka dilikuidasi. Inilah puncak dari risiko penularan (DeFi Contagion Risk). Celah di Kelp DAO tidak hanya membunuh dirinya sendiri, tetapi juga mengalirkan racun melalui pembuluh darah pinjaman non-isolasi ke jantung seluruh DeFi. Mereka yang tidak tahu apa itu LRT, apa itu staking ulang, hanya karena menaruh uang dan aset berisiko tinggi dalam satu kolam dana, akhirnya harus membayar harga perayaan hacker.

Hasil tinggi Anda hanyalah bonus akhir tahun yang dibayarkan di muka kepada hacker

Di atas reruntuhan 2,9 miliar dolar ini, kita tidak hanya harus mengkritisi kerentanan kode, tetapi juga menembus lapisan ilusi dalam narasi DeFi yang penuh kepalsuan. Seluruh industri setiap hari mengumandangkan desentralisasi, transparansi, kode sebagai hukum, tetapi di arena pertaruhan uang nyata, semuanya adalah kegilaan untuk memeras sedikit lagi hasil tahunan itu dengan mengorbankan prinsip. Model pinjaman non-isolasi pada dasarnya adalah mekanisme bajingan yang memprivatisasi keuntungan dan mensosialisasikan risiko. Proyek-proyek terus mengusulkan berbagai aset sintetis aneh ke dalam daftar putih melalui proposal tata kelola untuk menarik dana.
Mereka membanggakan kedalaman kolam dan efisiensi dana, tetapi mengabaikan jurang kredit besar antar aset. Dalam pasar bullish yang likuid, semua tampak harmonis, Anda mendapatkan bunga, saya mendapatkan TVL; tetapi saat krisis datang, hubungan bersarang yang rumit ini akan langsung membalikkan keadaan, menghancurkan semua kekayaan di atas kertas. Insiden rsETH Kelp DAO ini pasti bukan yang terakhir.
Selama DeFi masih terobsesi menggunakan aset untuk menjamin aset baru, dan selama protokol pinjaman tidak mau melepaskan skala besar kolam non-isolasi yang menggoda, keruntuhan sistemik ini akan berulang seperti flu musiman, memanen likuiditas pasar berulang kali.
Di Wall Street, saat Anda memanfaatkan leverage secara ekstrem dan memicu krisis sistemik, mungkin Anda masih bisa menunggu rencana penyelamatan Federal Reserve dan jaminan dari pembayar pajak. Tapi di dunia Web3 yang seperti hutan gelap, tidak ada bank sentral, tidak ada mekanisme penghentian otomatis, dan tidak ada simpati. Hacker dengan biaya 2,9 miliar dolar memberi pelajaran paling mahal tentang manajemen risiko keuangan: saat Anda tidak mengerti dari mana asal hasil tahunan 20%, jangan ragu, hasil itu adalah modal Anda sendiri, dan Anda adalah mangsa yang terkunci di lapisan paling bawah dari kode yang bersarang.