$71J Dibekukan, $175J Sudah Hilang: Bagaimana Peretas Kelp DAO Mencuci $292 Juta Ether yang Dicuri

Arbitrum bertindak cepat. Pada Senin malam, Dewan Keamanan Arbitrum membekukan lebih dari 30.766 ETH (sekitar $71 juta) yang berada di dompet di Arbitrum One yang secara langsung terkait dengan eksploitasi KelpDAO. Dewan tersebut mengatakan bahwa mereka bertindak dengan masukan dari penegak hukum mengenai apa yang mereka yakini sebagai identitas penyerang dan bahwa tindakan ini tidak berdampak atau memengaruhi pengguna atau aplikasi Arbitrum lainnya. Lingkungan DeFi jarang melakukan intervensi on-chain tingkat ini secara real-time, jadi ini adalah tindakan yang benar-benar tegas bagi Arbitrum. Peretas bertindak lebih cepat. Sebelum pengumuman Arbitrum mengering, perusahaan intelijen blockchain Arkham melacak tersangka memindahkan 75.701 ETH (sekitar $175 juta) dari alamat Ethereum ke dompet yang baru dibuat. Dua transfer dilakukan, satu senilai $117 juta dan yang lainnya $58 juta, selama jam perdagangan Eropa pada hari Selasa. Penyelidik on-chain ZachXBT mengonfirmasi kepada saya bahwa dana yang diperoleh secara ilegal telah mulai dipindahkan antar-rantai. Fase pencucian uang telah dimulai. Meskipun Arbitrum membekukan sekitar 25% dari total jumlah yang dicuri; 75% sisanya masih aktif dipindahkan.

Bagaimana Serangan Itu Terjadi

Jika ada yang melewatkannya, pada hari Sabtu, 18 April, seorang penyerang memanfaatkan eksploitasi bridge lintas-rantai berbasis LayerZero milik Kelp DAO untuk mengeksploitasi cacat yang memungkinkan mereka menarik 116.500 rsETH (bernilai sekitar $291 juta pada waktu itu) – sekitar 18% dari total jumlah rsETH yang beredar pada waktu itu. Dengan memberikan instruksi palsu ke bridge, penyerang menyebabkan bridge melepaskan rsETH ke alamat yang mereka kendalikan. Penyerang kemudian menyetor token curian ke Aave, Compound, dan Euler untuk digunakan sebagai jaminan guna meminjam ratusan juta wrapped ether tambahan. Bridge Kelp memiliki cadangan yang mendukung rsETH di lebih dari 20 jaringan, sehingga insiden ini menyebabkan efek riak yang langsung. Hingga saat ini, setidaknya sembilan protokol telah terpaksa membekukan pasar mereka atau mengambil tindakan darurat lainnya. Aave sendiri melihat $6,6 miliar TVL meninggalkan platform mereka dalam beberapa jam dan nilai token mereka turun 16%. Sekarang setelah Aave merilis laporan insidennya, mereka memperkirakan paparan utang macet mereka antara $123 juta dan $230 juta, tergantung pada bagaimana Kelp DAO menetapkan kekurangannya di antara posisi Layer 2-nya. Dengan demikian, peretasan DeFi ini kini telah melampaui peretasan Drift dari dua minggu lalu, menjadikannya peretasan DeFi terbesar tahun 2026 hingga saat ini.

Perang Klaim Antara Kelp dan LayerZero

Kelp DAO dan LayerZero terlibat dalam perselisihan publik tentang siapa yang bertanggung jawab atas kesalahan konfigurasi yang menyebabkan serangan itu, sementara penyelidik terus menyelidiki bagaimana uang itu hilang. Salah satu penyebabnya adalah pemilik tunggal yang bertindak sebagai verifikator tunggal apakah setiap pesan yang dikirim antar-rantai yang berbeda valid. Jika pemilik tunggal tersebut disusupi maka seluruh bridge ikut disusupi. LayerZero bersikeras bahwa kami memberikan infrastruktur kepada Kelp DAO untuk membangun. Kelp DAO bersikeras bahwa penggunaan pemilik tunggal mereka didasarkan pada konfigurasi standar LayerZero untuk SV, yang berarti itu bukan pilihan yang dibuat oleh Kelp DAO. Hasil siapa yang bertanggung jawab secara hukum penting untuk setiap solusi hukum di masa depan tetapi tidak akan memengaruhi kerugian finansial yang diderita oleh mereka yang kehilangan uang. Apa yang sekarang diakui oleh kedua belah pihak adalah adanya konfigurasi yang secara katastropik tidak dapat menahan intrusi dan beroperasi dalam produksi pada bridge dengan nilai lintas-rantai senilai ratusan juta dolar (inilah yang mengikat kedua belah pihak bersama). Seseorang seharusnya menyadari masalah ini tetapi tidak ada yang melakukannya.

Bayangan Korea Utara

Peneliti keamanan dan berbagai publikasi telah mengidentifikasi bahwa pola eksploitasi Kelp, skalanya, dan kecepatan dana yang dicuci sangat mewakili modus operandi yang terkait dengan Lazarus Group Korea Utara. Bersama-sama, eksploitasi Drift dan Kelp menghasilkan lebih dari $500 juta aset yang terkuras hanya dalam waktu 2 minggu. Analis percaya bahwa penarikan finansial ini mencerminkan kebutuhan dana negara yang disanksi, daripada peretas oportunistik yang beroperasi dengan kecepatan tersebut. Lazarus Group telah dikaitkan dengan beberapa pencurian mata uang kripto terbesar dalam sejarah, termasuk peretasan Jaringan Ronin senilai $625 juta yang terjadi pada tahun 2022. Kelompok ini dikenal menggunakan pengaturan verifikator yang disusupi untuk mengeksploitasi infrastruktur lintas-rantai, serta dengan cepat/lebih efisien memindahkan dana curian mereka melalui berbagai alat privasi dan lompatan rantai untuk menghambat kemampuan penyelidik melacak aset curian mereka. Eksploitasi Kelp sesuai dengan modus operandi ini. Meskipun atribusi kepada Lazarus Group belum dikonfirmasi, jelas bahwa penegak hukum telah memberikan informasi yang cukup kepada Dewan Keamanan Arbitrum mengenai identitas penyerang Kelp untuk memberikan pembekuan di atas — menyiratkan bahwa penyelidik telah maju lebih jauh dari yang ditunjukkan oleh pernyataan publik.

Apa yang Terjadi Selanjutnya

Tidak seorang pun akan dapat mengakses $70 juta dana Arbitrum yang dibekukan tanpa persetujuan dari Tata Kelola Aave. Ini merupakan jumlah uang yang signifikan yang telah dipulihkan dan sangat mengesankan betapa cepatnya hal-hal terjadi secara keseluruhan. Namun, $175 juta dipindahkan ke dompet baru, membuat pemulihan jauh lebih sulit daripada jika hanya terjadi pada satu blockchain. FBI dan IRS-CI kemungkinan bekerja sama dalam investigasi mengingat betapa besar total nilai dana yang dicuri, tetapi mengubah investigasi ini menjadi aset nyata akan memakan waktu berbulan-bulan atau bertahun-tahun dan bukan hanya beberapa hari. Mengenai pemulihan utang macet/pinjaman untuk Aave, pertanyaan awal mereka adalah bagaimana menangani kerugian ini. Ada kemungkinan bahwa sebagian darinya dapat ditanggung dengan menggunakan Cadangan Keamanan Payung, tetapi jika tidak, kerugian tambahan apa pun harus berasal dari pemegang stkAAVE, melalui mekanisme backstop protokol. Ini akan memberikan tekanan signifikan pada Tata Kelola Aave untuk pertama kalinya untuk mengambil tindakan guna melindungi pemegang stkAAVE dari kerugian dengan cara yang belum pernah terjadi sebelumnya. Saat ini, baru sekitar 72 jam sejak eksploitasi Kelp terjadi. Investigasi sedang berlangsung; pencucian dana curian sedang terjadi; dan total jumlah kerugian dari eksploitasi tersebut belum ditentukan. Jelas bahwa pelaku eksploitasi Kelp telah menyiapkan skema yang rumit sebelum mengeksekusi peretasan untuk memanfaatkan keadaan ini.