Baru saja saya membahas salah satu kisah paling liar di DeFi dalam beberapa tahun terakhir. 18 April, tepat 46 menit - itu berapa lama dibutuhkan untuk mengalirkan 293 juta dolar dari ekosistem. Ini tentang peretasan jembatan Kelp, dan ini bukan sekadar eksploitasi lain, ini adalah krisis sistemik yang menunjukkan seberapa rapuh arsitektur keuangan terdesentralisasi bisa menjadi.

Inilah yang terjadi. Penyerang memanfaatkan kerentanan di jembatan lintas rantai Kelp DAO, yang berjalan di LayerZero. Tapi inilah masalahnya - ini bukan kesalahan kode. Ini adalah kesalahan konfigurasi. Kelp menggunakan konfigurasi DVN 1 dari 1, artinya hanya satu node validator yang memeriksa semua pesan antar rantai. Satu node. Bayangkan? Penyerang atau membobolnya, atau menipu, mengirim pesan palsu, dan jembatan mengeluarkan 116.500 rsETH (sekitar 293 juta dolar) begitu saja - tanpa jaminan apa pun, dibuat dari udara.

Selanjutnya yang paling menarik dimulai. Alih-alih menjual token di pasar, hacker bertindak secara presisi. Dia mengunci rsETH palsu ini di Aave sebagai jaminan, meminjam WETH nyata, lalu mengulangi hal yang sama di Aave V4. Pada saat Kelp berhasil membekukan kontrak (setelah 46 menit), aset nyata sudah hilang. Upaya mengulangi serangan dua kali lagi hanya gagal karena sistem sudah dibekukan.

Apa yang terjadi selanjutnya adalah kolaps berantai. Aave tersisa dengan utang tak tertagih sebesar 196 juta dolar, karena rsETH tiba-tiba kehilangan nilainya. Pool WETH mencapai 100% penggunaan, orang-orang tidak bisa menarik dana mereka. TVL Aave turun dari 26 miliar menjadi 22 miliar - kehilangan 6,6 miliar dalam satu hari. Token AAVE turun 20%, meskipun sekarang sudah pulih ke 98,91 dolar dengan kenaikan 3,31% dalam 24 jam terakhir.

Kepanikan dipicu oleh penarikan dana sebesar 5,4 miliar dolar. Orang-orang takut dan mulai keluar massal dari protokol. Ini adalah panik bank klasik, tetapi di DeFi terjadi dalam hitungan jam, bukan hari.

Insiden ini menyebar setidaknya ke sembilan platform lain - SparkLend, Fluid, Lido (produk EarnETH-nya), Compound, Euler dan beberapa lainnya. Semuanya either membekukan pasar rsETH, atau menghentikan operasi sebagai langkah pencegahan. Bahkan Ethena, yang sama sekali tidak memiliki eksposur ke rsETH, menghentikan jembatan LayerZero mereka begitu saja karena ketakutan.

Yang membuat saya terkesan dari cerita ini bukanlah sisi teknisnya. Kode Kelp sebenarnya normal. Ini adalah pilihan konfigurasi. Mikhail Egorov dari Curve merangkum dengan baik: hal-hal bisa terjadi ketika Anda mempercayai satu pihak saja, siapa pun itu. Dan ini tidak melanggar aturan LayerZero - protokol hanya mengizinkan konfigurasi seperti itu.

Mengenai uang - hampir tidak mungkin dikembalikan. Hacker dengan cepat membersihkan semua melalui Tornado Cash, mendistribusikan dana ke beberapa dompet. ZachXBT menemukan enam dompet yang terkait dengan pelaku, semuanya sudah didanai sebelumnya melalui mixer beberapa jam sebelum peretasan. Justin San menawarkan "berbicara" dengan hacker, tetapi ini lebih seperti pertunjukan.

Tahun 2026 benar-benar menjadi neraka bagi DeFi. Sebelum Kelp, ada beberapa peretasan besar lainnya - Resolv Labs kehilangan sekitar 80 juta pada Maret, Drift Protocol kehilangan 285 juta pada 1 April (kemudian terkait aktor Korea Utara), lalu CoW Swap, Zerion, Rhea Finance dan sekitar sepuluh protokol kecil lainnya. Total kerugian tahun 2026 sudah melebihi 450 juta dolar dari sekitar 45 protokol.

Bagi investor, ini berarti beberapa hal. Pertama, risiko likuiditas nyata bahkan di platform "aman". Ketika TVL turun dan pool digunakan 100%, bahkan mereka yang tidak memiliki akses ke aset yang diretas bisa terjebak dan tidak bisa menarik dana mereka. Kedua, sifat kompositivitas DeFi memotong dua arah. Interkoneksi yang sama yang membuat sistem kuat, juga menjadikannya saluran tercepat untuk infeksi. Kerentanan di satu protokol menjadi kejadian sistemik dalam hitungan menit.

Ketiga, dukungan lintas rantai terhadap aset tidak dijamin. rsETH di lebih dari 20 jaringan tetap dalam keadaan dukungan yang tidak pasti sampai Kelp merilis verifikasi cadangan yang terverifikasi. Siapa pun yang menerima wrsETH sebagai jaminan tetap berisiko.

Industri akan merespons dengan persyaratan wajib untuk beberapa DVN di jembatan, standar yang lebih ketat untuk protokol kredit, dan audit komprehensif untuk integrasi LayerZero. Tapi pelajaran di sini lebih dalam - ini bukan soal teknik, ini soal filosofi kepercayaan di DeFi. Asumsi implisitnya adalah token likuid pengisian kembali sama amannya dengan ETH dasar, jika protokolnya otoritatif. Asumsi ini runtuh.

Sekarang banyak yang meninjau ulang posisi mereka terhadap DeFi. Kepala keamanan Ledger mengatakan bahwa tahun 2026 kemungkinan akan menjadi tahun terburuk untuk peretasan dan bahwa kepercayaan terhadap DeFi sedang dihancurkan secara aktif. Ini adalah pengamatan yang adil. Ketika satu pilihan konfigurasi di satu protokol bisa mengalirkan 293 juta dan memicu kepanikan bernilai miliaran, itu membuat kita berpikir ulang tentang apa yang kita sebut "keamanan" di ruang ini.