Seorang penyerang dilaporkan menguras 116.500 rsETH dari jembatan lintas rantai (cross-chain bridge) Kelp DAO yang didukung LayerZero pada hari Sabtu, menurut data on-chain. Dana yang dicuri bernilai sekitar $292 juta pada harga pasar saat ini.
Transaksi pengurasan yang berhasil terjadi pada pukul 17:35 UTC, ketika dompet yang dikendalikan penyerang memanggil lzReceive pada kontrak EndpointV2 LayerZero. Panggilan tersebut memicu kontrak jembatan Kelp untuk melepaskan 116.500 rsETH ke alamat penyerang terpisah, sesuai dengan log peristiwa transaksi.
Dompet penyerang telah didanai sekitar 10 jam sebelumnya melalui kumpulan 1 ETH Tornado Cash, sebuah teknik pengaburan yang umum dalam eksploitasi DeFi.
"KelpDAO tampaknya telah kehilangan lebih dari $280 juta satu jam yang lalu di Ethereum dan Arbitrum," tulis penyelidik blockchain ZachXBT dalam pesan Telegram. "Alamat serangan didanai melalui Tornado Cash."
Kelp DAO, sebuah produk di bawah naungan KernelDAO, merespons sekitar 46 menit kemudian. Pada pukul 18:21 UTC, multisig pauser darurat protokol mengeksekusi pauseAll pada kontrak konfigurasi token restaking likuid Kelp, yang menyebabkan peristiwa Paused menyebar ke seluruh komponen inti protokol, termasuk Kolam Deposit LRT, kontrak Penarikan, Oracle LRT, dan token rsETH itu sendiri.
Dua upaya serangan berikutnya dari penyerang pada pukul 18:26 UTC dan 18:28 UTC keduanya dibatalkan, menunjukkan bahwa jeda tersebut menghentikan pengurasan lebih lanjut.
Eksploitasi tersebut tampaknya menargetkan jembatan OFT (Omnichain Fungible Token) LayerZero milik Kelp, yang memungkinkan rsETH bergerak antar jaringan.
116.500 rsETH yang diambil mewakili sekitar 18% dari pasokan beredar rsETH, yang oleh CoinGecko tercatat sekitar 630.000 token. rsETH saat ini digunakan di lebih dari 20 jaringan, termasuk Base, Arbitrum, Linea, Blast, Mantle, dan Scroll, menurut CoinGecko.
Harga AAVE turun sekitar 10% menyusul insiden tersebut, menurut halaman Harga Aave The Block, di tengah laporan bahwa platform peminjaman tersebut mungkin akan dibebani utang macet menyusul serangan tersebut.
Aave menanggapi insiden tersebut dengan membekukan pasar rsETH di Aave V3 dan V4 dan timnya menegaskan di X bahwa eksploitasi tersebut terkait dengan rsETH dan bukan kontrak pintar Aave.
"Kami sedang meninjau informasi tentang pinjaman rsETH di Aave yang terjadi setelah eksploitasi dan akan membagikan detail lebih lanjut sesegera mungkin," tulis Aave. "Jika protokol mengakumulasi utang macet dari insiden ini, aset Umbrella dapat digunakan untuk menutupi defisit."
Peristiwa ini menandai insiden keamanan kedua terkait rsETH bagi Kelp dalam kurun waktu sekitar setahun.
Pada April 2025, protokol tersebut menghentikan deposit dan penarikan setelah bug pada kontrak biayanya menyebabkan pencetakan rsETH berlebih. Tidak ada dana pengguna yang hilang dalam insiden tersebut, menurut pengungkapan protokol pada saat itu.
Hingga publikasi, baik @KelpDAO maupun @kernel_dao belum memposting pernyataan di X. rsETH diperdagangkan sekitar $2.500 pada saat publikasi.
Diperbarui pada 20:00 UTC dengan rincian dari pernyataan Aave. Ini adalah berita yang terus berkembang.
Disclaimer: The Block adalah outlet media independen yang menyajikan berita, riset, dan data. Hingga November 2023, Foresight Ventures adalah investor mayoritas The Block. Foresight Ventures berinvestasi di perusahaan lain di ruang kripto. Bursa kripto Bitget adalah LP jangkar untuk Foresight Ventures. The Block terus beroperasi secara independen untuk menyajikan informasi yang objektif, berdampak, dan tepat waktu tentang industri kripto. Berikut adalah pengungkapan keuangan kami saat ini.
© 2026 The Block. Hak Cipta Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Artikel ini tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau nasihat lainnya.
