Peretasan Kelp DAO: pelaku serangan menguras hampir seluruh $293J ETH, menyisakan hanya dana yang dibekukan
Natalia Ivanov2026-05-06
Setelah peretasan Kelp DAO sebesar $293 juta, pelaku dengan cepat mencuci ETH melalui THORChain dan mixer, meninggalkan hanya dana Arbitrum yang dibekukan yang dapat dipulihkan karena opsi pelacakan semakin hilang.
Penyerang yang bertanggung jawab atas peretasan Kelp DAO senilai sekitar $293 juta diduga telah melakukan operasi pencucian cepat (quick-flip laundering), memindahkan hampir seluruh ETH yang dialihkan dari aktivitas perdagangan statistik beberapa hari setelah penjarahan. Hal ini sangat mengurangi opsi pemulihan potensial menjadi hanya sisa dana yang dibekukan di bawah tata kelola keamanan Arbitrum.
Pergerakan Cepat Dana Curian
Pelacakan blockchain menunjukkan bahwa penyerang mulai mendistribusikan dana curian pada hari Selasa, hanya beberapa hari setelah eksploitasi (pada hari Sabtu ketika sekitar 116.500 Ether yang direstake (rsETH) disedot dari protokol jembatan berbasis LayerZero Kelp DAO). Simpanan yang dicuri bernilai sekitar $290 juta hingga $293 juta pada saat itu.
Penyerang memulai dengan mengumpulkan sekitar 75.700 ETH ke dompet baru dengan nilai pasar saat itu sekitar $175 juta. Langkah ini, yang umum pada awal eksploitasi, berfungsi untuk memutuskan transaksi eksploitasi dari proses pencucian.
Uang tersebut kemudian dikirim melalui beberapa saluran dana terpojok menggunakan berbagai alat privasi dan likuiditas terdesentralisasi dalam upaya menyamarkan jejak transaksi dan kepemilikan.
Penggunaan THORChain dan Alat Privasi
Sebagian besar pencucian diduga telah melewati THORChain, sebuah jaringan likuiditas lintas-rantai yang memfasilitasi pertukaran antar rantai yang berbeda tanpa memerlukan pihak lawan terpusat. Berdasarkan analisis blockchain, penyerang diyakini telah menukar sebagian besar Ether dengan Bitcoin (BTC) di platform tersebut.
Aktivitas yang menguntungkan diri sendiri ini, yang menghasilkan miliaran dolar (ROI 211%) dalam biaya transaksi untuk protokol (IOU, USDT, dan USDC), menunjukkan bagaimana infrastruktur tanpa izin dari likuiditas terdesentralisasi yang fungible dapat dimanfaatkan untuk volume tinggi yang melanggar hukum. Perkiraan nilai biaya aktivitas (sekitar $910.000) menggarisbawahi dampaknya.
Bahkan setelah THORChain, beberapa dana dikirim melalui protokol pencampur lain bernama Umbra, yang dibangun menggunakan teknologi rahasia. Lapisan pengaburan tambahan ini mempersulit penyelidik dan perusahaan analitik untuk melacak dana tersebut.
Pada hari Kamis, umpan intelijen blockchain dari Arkham mengungkapkan bahwa sebagian besar dana di dompet penyerang yang awalnya ditandai telah dikuras, mengisyaratkan bahwa "saga pencucian uangnya" hampir selesai.
Tanda-tanda Strategi Keluar yang Terstruktur
Platform intelijen on-chain seperti Arkham menemukan pola pergerakan yang merupakan karakteristik dari pengalihan, daripada penahanan jangka panjang.
Alih-alih menyimpan uang curian di dompet yang dapat diidentifikasi, yang mungkin menyebabkan upaya pemulihan kolaboratif terhadap penyerang, uang tersebut dikonsolidasi, ditransformasikan lintas aset, melewati banyak akun penampung perantara, semuanya dalam waktu yang sangat singkat.
Mengacu pada laju yang cepat dan desain transaksi, para analis menunjukkan bahwa transaksi tersebut tampaknya dilakukan dengan motif "mencairkan" daripada memanipulasi pasar atau menegosiasikan tebusan.
Jendela Pemulihan Terbatas: Dana yang Dibekukan Arbitrum
Tidak semua aset curian telah dikonversi dan masih dibekukan. Dewan keamanan Arbitrum membekukan sekitar 30.766 ETH dari dana yang diserahkan dari Binance setelah masuk kembali.
Aset-aset ini dipindahkan ke dompet perantara yang berada di bawah kendali tata kelola dan tidak diizinkan untuk dipindahkan saat ini (tanpa persetujuan tata kelola tingkat protokol).
Bagian yang dibekukan ini sekarang menjadi bagian terbesar yang dapat dipulihkan dari eksploitasi, dengan sisa ETH yang dicuri telah melewati serangkaian mixer dan pertukaran lintas-rantai sendiri, semakin mengaburkan asalnya.
Bagaimana Eksploitasi Terjadi
Serangan itu menargetkan Kelp DAO, sebuah protokol restaking yang memanfaatkan derivatif staking likuid. Menggunakan kelemahan dalam sistem jembatan rsETH yang dapat dioperasikan dengan LayerZero, penyerang dapat menarik sejumlah besar Ether yang direstake.
Aset yang dicuri, rsETH, adalah abstraksi dari posisi ETH yang di-stake yang digunakan kembali di seluruh struktur keuangan terdesentralisasi untuk mendapatkan hasil tambahan. Meskipun efisien, kompositabilitas ini dapat menyebabkan risiko sistemik yang lebih besar jika infrastruktur jembatan terganggu.
Implikasi Lebih Luas untuk Keamanan DeFi
Eksploitasi semacam itu semakin menyoroti bahaya yang ada pada infrastruktur DeFi lintas-rantai, di mana penggunaan protokol jembatan dan restaking saling beririsan. Pencucian dana yang cepat melalui protokol DeFi menunjukkan kekuatan DeFi dan kelemahan utamanya: keuangan tanpa izin.
Di satu sisi, model likuiditas open source dan jembatan permanen DeFi tidak terpengaruh oleh skenario serangan tertentu seperti eksploitasi yang ada pada jembatan stablecoin saat ini. Sebaliknya, keterbukaan ini juga kondusif untuk dieksploitasi sebagai titik akses kritis di sepanjang saluran aliran ilegal.
Pada saat yang sama, pembekuan parsial sistem tata kelola Arbitrum mengungkapkan bagaimana kekuatan darurat bergeser ke tangan dewan keamanan terdesentralisasi. Namun langkah-langkah tersebut semakin terbatas efikasinya oleh seberapa cepat para penyerang dapat menempatkan dana ke berbagai rantai dan lapisan privasi.
Prospek
Karena sebagian besar nilai yang dicuri kini telah tersebar di berbagai rantai melalui pertukaran lintas-rantai dan mixer privasi, investigasi kemungkinan akan menyempit pada dana yang dibekukan di bawah tata kelola Arbitrum.
Bagi para penyelidik, kasus ini menyoroti masalah yang sudah dikenal baik dalam keuangan terdesentralisasi: setelah sejumlah besar dana curian dengan cepat dijembatani, ditukar, dan dianonimkan, peluang untuk memulihkan keuntungan ilegal terbatas pada jam atau hari, bukan minggu.
