Kelp, sebuah protokol liquid restaking, menjadi korban serangan siber pada hari Sabtu, menyebabkan platform tersebut menghentikan sementara smart contract untuk token restaking-nya (rsETH), saat pihaknya "menyelidiki" serangan tersebut di tengah laporan kerugian ratusan juta dolar.
“Hari ini, kami mengidentifikasi aktivitas cross-chain yang mencurigakan melibatkan rsETH. Kami telah menghentikan sementara kontrak rsETH di mainnet dan beberapa Layer-2,” kata platform Kelp dalam sebuah postingan X.
Penyerang mengeksploitasi kontrak jembatan adaptor rsETH, kode perangkat lunak yang mengelola token rsETH milik Kelp, dan menguras dana sekitar $293 juta dari platform tersebut, menurut perusahaan keamanan blockchain Cyvers.
Penyerang menggunakan alamat yang didanai oleh crypto mixer Tornado Cash dan telah mengkonversi sekitar $250 juta dari dana yang dicuri ke Ether (ETH), kripto asli dari jaringan blockchain layer-1 Ethereum, kata Cyvers kepada Cointelegraph.
Menanggapi serangan tersebut, platform keuangan terdesentralisasi (DeFi) Aave mengumumkan telah membekukan pasar rsETH di Aave V3 dan V4. Setidaknya sembilan protokol kripto memiliki eksposur terhadap token tersebut dan telah menghentikan aktivitas di platform mereka sebagai respons, kata Cyvers.
“Ini persis jenis insiden yang menyoroti risiko komposabilitas di DeFi,” kata Deddy Lavid, CEO Cyvers, kepada Cointelegraph. Cointelegraph menghubungi Kelp tetapi tidak mendapatkan tanggapan hingga waktu publikasi.
Insiden ini adalah yang terbaru dalam serangkaian peretasan dan eksploitasi keamanan siber terhadap platform kripto selama beberapa bulan terakhir, karena kerugian kripto dari peretasan dan penipuan mencapai sekitar $482 juta pada Q1 2026.
Terkait: Aplikasi Ledger Live palsu di Apple App Store menguras $9,5 Juta dari korban: ZachXBT
Bursa kripto terdesentralisasi Drift Protocol juga mengalami eksploitasi pada bulan April, yang menguras sekitar $280 juta dari platform tersebut.
Tim Drift Protocol mengatakan serangan itu membutuhkan “persiapan yang disengaja selama berbulan-bulan,” di mana tim tersebut diinfiltrasi oleh peretas yang diduga berafiliasi dengan negara Korea Utara.
Dalam pembaruan pasca-mortem, tim Drift mengatakan mereka bertemu para penyerang di konferensi kripto "besar" dan berkolaborasi dengan mereka selama beberapa bulan sebelum para penyerang menyebarkan malware di mesin pengembang dan mengkompromikan platform tersebut.
Majalah: Rahasia miliaran dolar DeFi: Orang dalam yang bertanggung jawab atas peretasan
