#KelpDAOBridgeHacked

‍#Gate13thAnniversaryLive
Jembatan yang didukung ZRO milik KelpDAO diretas pada 18 April 2026, mengakibatkan pencurian sekitar $292–294 juta dalam bentuk koin di lebih dari 20 rantai; ini menjadi serangan DeFi terbesar tahun 2026. Serangan ini, menggunakan satu validator ZRO yang dikompromikan, menyebabkan pembekuan langsung pada Aave, Arbitrum, dan protokol lainnya.

Informasi Dasar

Tanggal serangan: 18 April 2026, sekitar pukul 17:35 UTC

Dana yang dicuri: sekitar 116.500 koin (~$292–294 juta), sekitar 18% dari pasokan yang beredar

Vektor serangan: Pesan lintas rantai ZRO palsu melalui setup Validator Terdesentralisasi 1-ke-1 yang dikompromikan (DVN)

Protokol yang Terpengaruh: Aave, SparkLend, Fluid, Arbitrum, Lido, Ethena, Compound, Euler

Konsekuensi langsung:

Aave membekukan V3 dan V4 serta menghadapi risiko sekitar ~$177–196 juta dalam utang buruk.

Arbitrum membekukan 30.766 ETH (~$100 juta) terkait dompet pelaku peretasan.

ZRO turun lebih dari 22% dalam 24 jam.

Harga token AAVE turun sekitar 20% menjadi $92,06.

Dampak Pasar

Ethereum (ETH): Harga langsung turun ke $2.300 setelah serangan dan sudah tercermin penuh dalam pasar prediksi.

Bitcoin (BTC): Penghindaran risiko meningkatkan kemungkinan kontrak prediksi untuk BTC mencapai $60.000 hingga 22% pada akhir April.

Likuiditas DeFi: Sekitar $9 miliar$100 dolar ditarik dari Aave dalam kepanikan; ini menunjukkan ketakutan sistemik terkait keamanan jaminan jembatan.

Akuntabilitas dan Atribusi

Pelaku yang diduga: Kelompok Lazarus dari Korea Utara, yang menggunakan teknik pemalsuan canggih.

Sikap KelpDAO: Menyalahkan infrastruktur ZRO, khususnya node RPC yang dikompromikan dan setup DVN 1-ke-1 yang tidak aman. Kelp menegaskan bahwa kontraknya sendiri tidak dieksploitasi secara langsung.

Tanggapan ZRO: Mengakui kekurangan dalam setup validator, aktif bekerja pada tindakan korektif bersama KelpDAO.

Langkah-langkah dan Tindakan Selanjutnya

Pembekuan darurat: KelpDAO menghentikan transfer koin yang dicuri antara Ethereum dan L2 dalam waktu 46 menit.
Dompet yang diblokir: KelpDAO telah memasukkan alamat yang menyalahgunakan ke daftar hitam dan menerapkan SEAL 911, hotline untuk ancaman keamanan.

Tindakan tata kelola: Arbitrum DAO akan memberikan suara mengenai nasib (juta dolar ETH yang dibekukan.

Perbaikan di masa depan: Seruan dilakukan untuk setup validator DVN ganda guna mencegah titik kegagalan tunggal dalam pesan lintas rantai.

Risiko dan Pelajaran

Kerentanan jembatan tetap menjadi risiko sistemik terbesar dalam DeFi.

Setup validator tunggal tidak dapat diterima untuk protokol bernilai tinggi; redundansi sangat penting.

Sebaran jaminan: Menggunakan aset yang dikompromikan sebagai jaminan )misalnya, di Aave$ZRO dapat menyebabkan kerusakan menyebar ke berbagai platform.

Kepercayaan komunitas: KelpDAO, yang memiliki total nilai terkunci sebesar $1,57 miliar sebelum serangan, mengalami pukulan terhadap kredibilitasnya, dan pemulihan akan bergantung pada perbaikan yang dilakukan secara transparan.
‍$AAVE $ARB