Satu eksploitasi terhadap jembatan bertenaga LayerZero milik Kelp DAO menjadi kerugian DeFi terbesar tahun 2026, dengan penyerang menguras sekitar 116.500 rsETH senilai sekitar $292 juta pada 17:35 UTC hari Sabtu, lalu mendorong token curian itu ke Aave (AAVE), Compound dan Euler (EUL) untuk mengekstrak ratusan juta dolar lagi dalam WETH pinjaman.
Setiap pasar peminjaman Ethereum (ETH) besar kini menjalankan pembekuan darurat.
Bagaimana Penyerang Menipu LayerZero
Jembatan Kelp mengandalkan lapisan pesan lintas-rantai LayerZero untuk mencetak dan melepaskan rsETH di lebih dari dua puluh jaringan.
Penyelidik mengatakan eksploitator memberi makan jembatan sebuah instruksi palsu yang terlihat seperti pesan valid dari rantai lain, yang memicu pelepasan 116.500 rsETH ke alamat yang dikendalikan penyerang.
Detektif on-chain ZachXBT adalah yang pertama menandai arus keluar tersebut dan mengonfirmasi bahwa jembatan tidak pernah menerima transfer masuk yang cocok yang seharusnya menjadi dasar pencetakan.
Spiral Utang Macet di Aave V3
Dalam hitungan menit setelah pencetakan, penyerang memindahkan rsETH curian ke Aave V3, Compound V3 dan Euler sebagai jaminan dan meminjam lebih dari $236 juta dalam WETH di tiga pasar tersebut.
Karena rsETH yang disetor tidak didukung aset nyata, protokol peminjaman dibiarkan memegang jaminan terhadap aset yang tidak lagi merepresentasikan Ether yang di-restake sesungguhnya.
Also Read: Why Does An Oil Lane 7,000 Miles Away Control The Bitcoin Price
Tata kelola Aave sudah menghentikan setoran rsETH baru, dan AAVE turun sekitar 10% ketika pasar memasukkan kemungkinan utang macet ke dalam harga.
Dua Puluh Chain Berisi Wrapped Ether Terlantar
rsETH beredar di lebih dari dua puluh Layer 2 dan sidechain, dan eksploitasi pada satu chain ini menimbulkan keraguan apakah pasokan wrapped di jaringan tersebut masih sepenuhnya didukung.
Fluid dan SparkLend bergabung dengan Aave membekukan pasar rsETH dalam hitungan jam. Sekitar 18% dari 630.000 rsETH suplai beredar terangkat dalam satu transaksi, menurut data yang dikutip oleh CoinDesk.
Apa yang Perlu Anda Perhatikan Berikutnya
Tim Kelp DAO telah membuka jendela negosiasi whitehat 24 jam dan berkoordinasi dengan LayerZero untuk post-mortem.
Pertanyaan langsungnya adalah apakah pemegang rsETH di jaringan non-Ethereum dapat dipulihkan sepenuhnya, dan apakah deposan Aave akan menanggung sebagian dari utang macet tersebut.
Eksploitasi ini juga membuka kembali perdebatan lebih besar di dalam DeFi: apakah Ether yang di-restake dalam bentuk apa pun seharusnya diterima sebagai jaminan blue-chip sama sekali.
Read Next: What Happens When the Most Powerful AI Gets Its Own Crypto Wallet