Kelp, sebuah platform restaking likuid, melaporkan serangan siber pada hari Sabtu yang memengaruhi operasi token rsETH-nya.
Tim mendeteksi aktivitas lintas rantai yang tidak biasa dan dengan cepat menghentikan sementara kontrak pintar di seluruh jaringan utama dan beberapa sistem Layer-2. Platform tersebut menyatakan bahwa mereka "menyelidiki" masalah ini sambil menilai cakupan penuh pelanggaran tersebut.
Sementara itu, eksploitasi tersebut berfokus pada kontrak jembatan adaptor rsETH. Komponen ini mengelola transfer token antar rantai.
Perusahaan keamanan blockchain Cyvers memperkirakan kerugian sekitar $293 juta. Penyerang memperoleh akses ke dana dengan menargetkan kontrak ini, menyebabkan arus keluar besar dalam waktu singkat.
Cyvers melaporkan bahwa penyerang menggunakan alamat yang didanai melalui Tornado Cash. Alat ini sering digunakan untuk mengaburkan jejak transaksi. Sebagian besar dana yang dicuri, sekitar $250 juta, telah dikonversi menjadi Ether.
Pergerakan dana ini telah menimbulkan kekhawatiran di kalangan platform yang terhubung dengan rsETH. Tim pemantau terus melacak aset saat bergerak di berbagai jaringan. Sejauh ini belum ada konfirmasi pemulihan dana. Kelp belum merilis detail teknis lebih lanjut tentang pelanggaran ini pada tahap ini.
Selain itu, serangan tersebut menyebabkan apa yang digambarkan Cyvers sebagai "penularan lintas-protokol". Setidaknya sembilan platform kripto memiliki paparan terhadap rsETH dan mengambil tindakan untuk membatasi risiko. Banyak di antaranya menghentikan sementara atau membatasi aktivitas yang melibatkan token tersebut.
Aave mengonfirmasi bahwa mereka membekukan pasar rsETH di platform V3 dan V4-nya. Langkah ini bertujuan untuk mencegah kerugian lebih lanjut dan menahan risiko. CEO Cyvers, Deddy Lavid, menyatakan bahwa peristiwa tersebut "menyoroti risiko kompositabilitas di DeFi," mengacu pada bagaimana sistem yang terhubung dapat menyebarkan risiko dengan cepat.
Insiden Kelp menambah daftar panjang pelanggaran platform kripto yang terus bertambah. Data menunjukkan bahwa kerugian akibat peretasan dan penipuan mencapai sekitar $482 juta pada kuartal pertama tahun 2026. Peristiwa ini terus memengaruhi kepercayaan pengguna dan operasi platform.
Kasus terbaru lainnya melibatkan Drift Protocol, yang kehilangan sekitar $280 juta dalam sebuah eksploitasi. Platform tersebut melaporkan bahwa penyerang menghabiskan waktu berbulan-bulan untuk mendapatkan akses sebelum menyebarkan malware. Insiden-insiden ini menunjukkan tantangan berkelanjutan dalam mengamankan sistem keuangan terdesentralisasi.
