#rsETHAttackUpdate
Enam hari setelah peretasan DeFi terbesar tahun 2026, krisis rsETH telah memasuki fase pemulihan paling kritis. Serangan telah dikendalikan. Pendarahan telah berhenti. Tetapi resolusi penuh yang mencakup distribusi utang buruk, pemulihan peg rsETH, dan pemulihan dana multi-rantai masih berlangsung aktif hingga pagi ini. Berikut semua yang telah dikonfirmasi hari ini.
Ringkasan Serangan Apa yang Terjadi pada 18 April
Pada 18 April 2026 pukul 17:35 UTC, seorang penyerang mengeksploitasi jembatan LayerZero V2 KelpDAO antara Unichain dan Ethereum mainnet. Jembatan dikonfigurasi dengan DVN 1-dari-1 yang sangat lemah yang berarti satu validator node yang dioperasikan oleh LayerZero Labs memiliki otoritas penuh untuk menyetujui pesan lintas rantai tanpa verifikasi independen. Penyerang meracuni infrastruktur RPC yang digunakan oleh DVN LayerZero dengan melakukan DDoS terhadap node yang sah untuk memaksa failover ke node yang dikompromikan lalu memalsukan pesan lintas rantai yang valid yang menipu jembatan agar mencetak 116.500 token rsETH tidak didukung langsung ke alamat yang dikendalikan penyerang. Token tersebut langsung disetor ke Aave V3 sebagai jaminan, memungkinkan penyerang meminjam sejumlah besar WETH nyata terhadap backing yang sepenuhnya fiktif. Total kerusakan: 292 juta USDT, peretasan DeFi terbesar tahun 2026.
Kemajuan Pemulihan Apa yang Telah Dikonfirmasi Hari Ini
Pemulihan sedang berlangsung tetapi masih belum lengkap. Dewan Keamanan Arbitrum kini telah memulihkan sekitar 70 juta USDT dalam ETH terkait serangan, meningkat dari angka 30.766 ETH yang dilaporkan awal minggu ini. Dana tersebut tetap dalam dompet perantara menunggu keputusan tata kelola tentang metodologi distribusi. Namun, sebagian besar aset yang dicuri telah dipindahkan melalui THORChain, yang secara signifikan memperumit pemulihan penuh. Multisig KelpDAO membekukan kontrak inti tak lama setelah exploit teridentifikasi, yang berhasil memblokir upaya pencurian kedua senilai sekitar 95 juta USDT, mengonfirmasi bahwa mekanisme tanggap darurat diaktifkan dengan benar setelah pelanggaran awal. Tingkat pemulihan keseluruhan tetap jauh di bawah 50% dari total dana yang dicuri hingga 24 April.
Koalisi Industri DeFi Bersatu Dibentuk
Perkembangan paling signifikan hari ini adalah ekspansi resmi dari inisiatif pemulihan DeFi United, sebuah upaya penyelamatan industri secara terkoordinasi yang dipimpin oleh Aave untuk menstabilkan backing rsETH dan menghilangkan utang buruk di platform pinjaman yang terdampak. Kontribusi yang dikonfirmasi hingga 24 April termasuk pendiri Aave, Stani Kulechov, secara pribadi menyumbangkan 5.000 ETH dari modalnya sendiri, dengan pernyataan: "Aave adalah karya seumur hidup saya dan kami bekerja tanpa henti untuk menemukan hasil terbaik bagi pengguna." Tata kelola EtherFi mendapatkan persetujuan besar dari 1.800 pemegang token, menyetujui kontribusi hingga 5.000 ETH dari treasury DAO-nya. Lido Finance telah menyumbang hingga 2.500 stETH secara eksklusif untuk mengatasi kekurangan backing rsETH. Golem Foundation dan Golem Factory bersama-sama menyumbang 1.000 ETH dari treasury mereka. LayerZero juga mengusulkan kontribusi untuk memulihkan backing rsETH, menyatakan bahwa mereka telah berkoordinasi secara dekat dengan Aave, EtherFi, Ethena, Arbitrum, dan Kelp selama proses berlangsung. Tydro, Ink Foundation, dan Mantle semuanya bergabung dalam koalisi dengan Mantle mengusulkan pinjaman terstruktur besar untuk mendukung posisi likuiditas Aave. Dalam satu minggu, diharapkan akan dipublikasikan peta jalan komprehensif yang merinci semua entitas yang terlibat dan metodologi distribusi dana.
Status Pembekuan Cadangan Respon Resmi Aave
Guardian Aave memulai pembekuan darurat pada pasar rsETH dan wrsETH di semua deployment dalam 77 menit setelah exploit awal pada pukul 18:52 UTC tanggal 18 April. Hingga 24 April, cadangan rsETH tetap dijeda di Ethereum Core, Arbitrum, Base, Mantle, dan Linea dengan Aave secara eksplisit menyatakan bahwa jeda yang diperpanjang ini dirancang untuk memfasilitasi pemulihan dana maksimal seiring kemajuan rencana resolusi. Tata kelola Aave telah menonaktifkan pasar rsETH di deployment V3 dan V4. Semua pool Aave lainnya tetap aman dan beroperasi penuh, insiden ini terbatas secara eksklusif pada rsETH dan tidak mencerminkan adanya kerentanan dalam protokol Aave itu sendiri.
Penularan DeFi Lebih Luas Gambaran Kerusakan Penuh
Penularan menyebar jauh melampaui KelpDAO. Aave mengalami keluar bersih sebesar 6.200 juta USDT, penurunan sebesar 23%. Morpho kehilangan 716 juta USDT, turun 9%. Sky protocol kehilangan 272 juta USDT, turun 4%. JupLend kehilangan 76 juta USDT, turun 8%. Total TVL DeFi turun sekitar 10 miliar USDT segera setelah serangan, dengan JPMorgan memperkirakan dampak ekosistem yang lebih luas sebesar 20 miliar USDT. Lido menghentikan produk EarnETH-nya yang memiliki sekitar 9% dari TVL-nya secara langsung terpapar rsETH KelpDAO dan mengerahkan buffer likuiditas sebesar 3 juta USDT sambil memproses penarikan permintaan pra-insiden dengan valuasi pra-serangan. DVV, GGV, dan EarnUSD dari Lido mengonfirmasi tidak ada eksposur langsung terhadap rsETH dan terus beroperasi normal. SparkLend dan Fluid keduanya memberlakukan jeda darurat pada eksposur rsETH. Tingkat bunga yang didorong oleh utilisasi melonjak di berbagai platform pinjaman, memaksa deleveraging peminjam dan penyesuaian portofolio di seluruh ekosistem.
Status Dana Pengguna berdasarkan Jenis Posisi
Keamanan dana pengguna sepenuhnya tergantung pada produk dan rantai yang mereka gunakan.
Pemegang rsETH di mainnet Ethereum yang didukung oleh deposit staking EigenLayer yang sah mempertahankan backing dasar mereka, delegasi EigenLayer dikonfirmasi tetap utuh dan tidak pernah dikompromikan. Pengguna Aave dengan posisi non-rsETH di semua pool aman dan tidak terpengaruh. Pengguna yang memegang rsETH yang dibungkus di jaringan Layer 2 menghadapi ketidakpastian nyata karena reserve jembatan yang mendukung token tersebut rusak, dan distribusi kerugian antar rantai belum secara resmi ditentukan. Pengguna yang mengajukan penarikan EarnETH sebelum krisis likuiditas akan ditebus dengan valuasi pra-insiden. Permintaan penarikan kemudian akan diproses setelah kondisi likuiditas membaik. Panduan resmi dari setiap protokol yang terdampak tetap tidak berubah: jangan berinteraksi dengan rsETH di rantai manapun sampai resolusi resmi diumumkan.
Perbaikan Keamanan Apa yang Berubah
Konfigurasi DVN 1-dari-1 yang memungkinkan serangan ini telah diidentifikasi sebagai kerentanan utama definitif dan tidak akan muncul di deployment KelpDAO atau LayerZero di masa depan. LayerZero mengakui bahwa mereka telah merekomendasikan konfigurasi multi-DVN ke KelpDAO sebelum exploit tetapi protokol mereka masih mengizinkan deployment 1-dari-1, sebuah celah yang kini sedang mereka atasi di tingkat protokol. Peneliti keamanan on-chain banteg secara terbuka mengidentifikasi bahwa beberapa proyek lain masih menjalankan konfigurasi jembatan 1-dari-1 hingga 19 April, termasuk beberapa di Arbitrum, Base, dan BSC, memicu tinjauan keamanan mendesak di seluruh ekosistem DeFi. Standar verifikasi multi-DVN minimum 2-dari-3 kini diadopsi sebagai standar industri di semua deployment jembatan bernilai tinggi.
Sentimen Investor Ketakutan atau Peluang
Sentimen pasar terhadap rsETH secara khusus tetap sangat negatif dan akan tetap demikian sampai peta jalan pemulihan DeFi United secara resmi dipublikasikan dan distribusi utang buruk dikonfirmasi. Namun, sektor DeFi yang lebih luas menunjukkan tanda-tanda awal perdagangan pelarian dengan modal berputar dari protokol yang terdampak ke alternatif yang tidak terpengaruh. Santiment mengonfirmasi pola ini muncul enam hari setelah dampak Kelp. Kecepatan dan skala koalisi DeFi United dengan lebih dari 13.500 ETH yang sudah dijanjikan dari kontributor yang dikonfirmasi lebih besar dari upaya pemulihan peretasan DeFi sebelumnya dan menandakan kematangan ekosistem yang berarti. Fakta bahwa 1.800 pemegang token EtherFi secara besar-besaran memilih untuk mengerahkan modal pemulihan mengonfirmasi bahwa mekanisme tata kelola DeFi dapat bergerak cepat saat risiko tinggi.
Pelajaran untuk Keamanan DeFi Apa yang Secara Permanen Berubah
Tiga perubahan struktural kini sedang berlangsung di seluruh DeFi sebagai akibat langsung dari exploit ini. Pertama, konfigurasi DVN 1-dari-1 dihapus dari semua protokol jembatan utama; serangan KelpDAO menunjukkan bahwa kompromi validator tunggal dapat menguras ratusan juta dolar dalam hitungan menit. Kedua, pemantauan invariansi waktu nyata yang melacak rasio kunci kunci kunci antar rantai secara bersamaan sedang diwajibkan sebagai persyaratan keamanan inti, bukan tambahan opsional. Ketiga, batas konsentrasi TVL jembatan sedang dibahas dalam tata kelola di semua protokol utama; tidak boleh ada satu jembatan yang memegang cadangan backing untuk persentase signifikan dari pasokan token yang beredar tanpa pemutus sirkuit otomatis.
Garis Waktu Pemulihan
Garis waktu resolusi dasar adalah 30 hingga 60 hari untuk pelaksanaan peta jalan DeFi United, distribusi utang buruk, dan pembukaan kembali pasar rsETH secara bertahap di setiap rantai dimulai dari Ethereum mainnet. Skenario optimis untuk pemulihan rsETH bergantung pada tiga variabel yang bersinergi: finalisasi komitmen modal DeFi United dalam satu minggu seperti yang diumumkan, persetujuan tata kelola Dewan Keamanan Arbitrum atas distribusi dana 70 juta USDT yang dipulihkan, dan tidak adanya pergerakan THORChain tambahan oleh penyerang yang dapat memperumit forensik on-chain lebih jauh.
Bagi pemegang rsETH yang ada, ini adalah situasi menahan dan memantau, bukan menjual ke pasar yang tidak likuid dan bukan membeli sampai jalur pemulihan resmi dikonfirmasi. Untuk ekosistem DeFi yang lebih luas, inisiatif DeFi United mewakili respons krisis terkoordinasi terkuat dalam sejarah sektor ini. Jika berhasil, ini menetapkan standar baru tentang bagaimana DeFi menangani peristiwa black swan. Jika gagal, tekanan regulasi untuk asuransi DeFi wajib dan audit keamanan jembatan menjadi tidak terelakkan secara politik.
Serangan telah berakhir. Pemulihan telah dimulai. Hasilnya tergantung pada apakah nama-nama terbesar di DeFi dapat memenuhi komitmen terbesar mereka.
Enam hari setelah peretasan DeFi terbesar tahun 2026, krisis rsETH telah memasuki fase pemulihan paling kritis. Serangan telah dikendalikan. Pendarahan telah berhenti. Tetapi resolusi penuh yang mencakup distribusi utang buruk, pemulihan peg rsETH, dan pemulihan dana multi-rantai masih berlangsung aktif hingga pagi ini. Berikut semua yang telah dikonfirmasi hari ini.
Ringkasan Serangan Apa yang Terjadi pada 18 April
Pada 18 April 2026 pukul 17:35 UTC, seorang penyerang mengeksploitasi jembatan LayerZero V2 KelpDAO antara Unichain dan Ethereum mainnet. Jembatan dikonfigurasi dengan DVN 1-dari-1 yang sangat lemah yang berarti satu validator node yang dioperasikan oleh LayerZero Labs memiliki otoritas penuh untuk menyetujui pesan lintas rantai tanpa verifikasi independen. Penyerang meracuni infrastruktur RPC yang digunakan oleh DVN LayerZero dengan melakukan DDoS terhadap node yang sah untuk memaksa failover ke node yang dikompromikan lalu memalsukan pesan lintas rantai yang valid yang menipu jembatan agar mencetak 116.500 token rsETH tidak didukung langsung ke alamat yang dikendalikan penyerang. Token tersebut langsung disetor ke Aave V3 sebagai jaminan, memungkinkan penyerang meminjam sejumlah besar WETH nyata terhadap backing yang sepenuhnya fiktif. Total kerusakan: 292 juta USDT, peretasan DeFi terbesar tahun 2026.
Kemajuan Pemulihan Apa yang Telah Dikonfirmasi Hari Ini
Pemulihan sedang berlangsung tetapi masih belum lengkap. Dewan Keamanan Arbitrum kini telah memulihkan sekitar 70 juta USDT dalam ETH terkait serangan, meningkat dari angka 30.766 ETH yang dilaporkan awal minggu ini. Dana tersebut tetap dalam dompet perantara menunggu keputusan tata kelola tentang metodologi distribusi. Namun, sebagian besar aset yang dicuri telah dipindahkan melalui THORChain, yang secara signifikan memperumit pemulihan penuh. Multisig KelpDAO membekukan kontrak inti tak lama setelah exploit teridentifikasi, yang berhasil memblokir upaya pencurian kedua senilai sekitar 95 juta USDT, mengonfirmasi bahwa mekanisme tanggap darurat diaktifkan dengan benar setelah pelanggaran awal. Tingkat pemulihan keseluruhan tetap jauh di bawah 50% dari total dana yang dicuri hingga 24 April.
Koalisi Industri DeFi Bersatu Dibentuk
Perkembangan paling signifikan hari ini adalah ekspansi resmi dari inisiatif pemulihan DeFi United, sebuah upaya penyelamatan industri secara terkoordinasi yang dipimpin oleh Aave untuk menstabilkan backing rsETH dan menghilangkan utang buruk di platform pinjaman yang terdampak. Kontribusi yang dikonfirmasi hingga 24 April termasuk pendiri Aave, Stani Kulechov, secara pribadi menyumbangkan 5.000 ETH dari modalnya sendiri, dengan pernyataan: "Aave adalah karya seumur hidup saya dan kami bekerja tanpa henti untuk menemukan hasil terbaik bagi pengguna." Tata kelola EtherFi mendapatkan persetujuan besar dari 1.800 pemegang token, menyetujui kontribusi hingga 5.000 ETH dari treasury DAO-nya. Lido Finance telah menyumbang hingga 2.500 stETH secara eksklusif untuk mengatasi kekurangan backing rsETH. Golem Foundation dan Golem Factory bersama-sama menyumbang 1.000 ETH dari treasury mereka. LayerZero juga mengusulkan kontribusi untuk memulihkan backing rsETH, menyatakan bahwa mereka telah berkoordinasi secara dekat dengan Aave, EtherFi, Ethena, Arbitrum, dan Kelp selama proses berlangsung. Tydro, Ink Foundation, dan Mantle semuanya bergabung dalam koalisi dengan Mantle mengusulkan pinjaman terstruktur besar untuk mendukung posisi likuiditas Aave. Dalam satu minggu, diharapkan akan dipublikasikan peta jalan komprehensif yang merinci semua entitas yang terlibat dan metodologi distribusi dana.
Status Pembekuan Cadangan Respon Resmi Aave
Guardian Aave memulai pembekuan darurat pada pasar rsETH dan wrsETH di semua deployment dalam 77 menit setelah exploit awal pada pukul 18:52 UTC tanggal 18 April. Hingga 24 April, cadangan rsETH tetap dijeda di Ethereum Core, Arbitrum, Base, Mantle, dan Linea dengan Aave secara eksplisit menyatakan bahwa jeda yang diperpanjang ini dirancang untuk memfasilitasi pemulihan dana maksimal seiring kemajuan rencana resolusi. Tata kelola Aave telah menonaktifkan pasar rsETH di deployment V3 dan V4. Semua pool Aave lainnya tetap aman dan beroperasi penuh, insiden ini terbatas secara eksklusif pada rsETH dan tidak mencerminkan adanya kerentanan dalam protokol Aave itu sendiri.
Penularan DeFi Lebih Luas Gambaran Kerusakan Penuh
Penularan menyebar jauh melampaui KelpDAO. Aave mengalami keluar bersih sebesar 6.200 juta USDT, penurunan sebesar 23%. Morpho kehilangan 716 juta USDT, turun 9%. Sky protocol kehilangan 272 juta USDT, turun 4%. JupLend kehilangan 76 juta USDT, turun 8%. Total TVL DeFi turun sekitar 10 miliar USDT segera setelah serangan, dengan JPMorgan memperkirakan dampak ekosistem yang lebih luas sebesar 20 miliar USDT. Lido menghentikan produk EarnETH-nya yang memiliki sekitar 9% dari TVL-nya secara langsung terpapar rsETH KelpDAO dan mengerahkan buffer likuiditas sebesar 3 juta USDT sambil memproses penarikan permintaan pra-insiden dengan valuasi pra-serangan. DVV, GGV, dan EarnUSD dari Lido mengonfirmasi tidak ada eksposur langsung terhadap rsETH dan terus beroperasi normal. SparkLend dan Fluid keduanya memberlakukan jeda darurat pada eksposur rsETH. Tingkat bunga yang didorong oleh utilisasi melonjak di berbagai platform pinjaman, memaksa deleveraging peminjam dan penyesuaian portofolio di seluruh ekosistem.
Status Dana Pengguna berdasarkan Jenis Posisi
Keamanan dana pengguna sepenuhnya tergantung pada produk dan rantai yang mereka gunakan.
Pemegang rsETH di mainnet Ethereum yang didukung oleh deposit staking EigenLayer yang sah mempertahankan backing dasar mereka, delegasi EigenLayer dikonfirmasi tetap utuh dan tidak pernah dikompromikan. Pengguna Aave dengan posisi non-rsETH di semua pool aman dan tidak terpengaruh. Pengguna yang memegang rsETH yang dibungkus di jaringan Layer 2 menghadapi ketidakpastian nyata karena reserve jembatan yang mendukung token tersebut rusak, dan distribusi kerugian antar rantai belum secara resmi ditentukan. Pengguna yang mengajukan penarikan EarnETH sebelum krisis likuiditas akan ditebus dengan valuasi pra-insiden. Permintaan penarikan kemudian akan diproses setelah kondisi likuiditas membaik. Panduan resmi dari setiap protokol yang terdampak tetap tidak berubah: jangan berinteraksi dengan rsETH di rantai manapun sampai resolusi resmi diumumkan.
Perbaikan Keamanan Apa yang Berubah
Konfigurasi DVN 1-dari-1 yang memungkinkan serangan ini telah diidentifikasi sebagai kerentanan utama definitif dan tidak akan muncul di deployment KelpDAO atau LayerZero di masa depan. LayerZero mengakui bahwa mereka telah merekomendasikan konfigurasi multi-DVN ke KelpDAO sebelum exploit tetapi protokol mereka masih mengizinkan deployment 1-dari-1, sebuah celah yang kini sedang mereka atasi di tingkat protokol. Peneliti keamanan on-chain banteg secara terbuka mengidentifikasi bahwa beberapa proyek lain masih menjalankan konfigurasi jembatan 1-dari-1 hingga 19 April, termasuk beberapa di Arbitrum, Base, dan BSC, memicu tinjauan keamanan mendesak di seluruh ekosistem DeFi. Standar verifikasi multi-DVN minimum 2-dari-3 kini diadopsi sebagai standar industri di semua deployment jembatan bernilai tinggi.
Sentimen Investor Ketakutan atau Peluang
Sentimen pasar terhadap rsETH secara khusus tetap sangat negatif dan akan tetap demikian sampai peta jalan pemulihan DeFi United secara resmi dipublikasikan dan distribusi utang buruk dikonfirmasi. Namun, sektor DeFi yang lebih luas menunjukkan tanda-tanda awal perdagangan pelarian dengan modal berputar dari protokol yang terdampak ke alternatif yang tidak terpengaruh. Santiment mengonfirmasi pola ini muncul enam hari setelah dampak Kelp. Kecepatan dan skala koalisi DeFi United dengan lebih dari 13.500 ETH yang sudah dijanjikan dari kontributor yang dikonfirmasi lebih besar dari upaya pemulihan peretasan DeFi sebelumnya dan menandakan kematangan ekosistem yang berarti. Fakta bahwa 1.800 pemegang token EtherFi secara besar-besaran memilih untuk mengerahkan modal pemulihan mengonfirmasi bahwa mekanisme tata kelola DeFi dapat bergerak cepat saat risiko tinggi.
Pelajaran untuk Keamanan DeFi Apa yang Secara Permanen Berubah
Tiga perubahan struktural kini sedang berlangsung di seluruh DeFi sebagai akibat langsung dari exploit ini. Pertama, konfigurasi DVN 1-dari-1 dihapus dari semua protokol jembatan utama; serangan KelpDAO menunjukkan bahwa kompromi validator tunggal dapat menguras ratusan juta dolar dalam hitungan menit. Kedua, pemantauan invariansi waktu nyata yang melacak rasio kunci kunci kunci antar rantai secara bersamaan sedang diwajibkan sebagai persyaratan keamanan inti, bukan tambahan opsional. Ketiga, batas konsentrasi TVL jembatan sedang dibahas dalam tata kelola di semua protokol utama; tidak boleh ada satu jembatan yang memegang cadangan backing untuk persentase signifikan dari pasokan token yang beredar tanpa pemutus sirkuit otomatis.
Garis Waktu Pemulihan
Garis waktu resolusi dasar adalah 30 hingga 60 hari untuk pelaksanaan peta jalan DeFi United, distribusi utang buruk, dan pembukaan kembali pasar rsETH secara bertahap di setiap rantai dimulai dari Ethereum mainnet. Skenario optimis untuk pemulihan rsETH bergantung pada tiga variabel yang bersinergi: finalisasi komitmen modal DeFi United dalam satu minggu seperti yang diumumkan, persetujuan tata kelola Dewan Keamanan Arbitrum atas distribusi dana 70 juta USDT yang dipulihkan, dan tidak adanya pergerakan THORChain tambahan oleh penyerang yang dapat memperumit forensik on-chain lebih jauh.
Bagi pemegang rsETH yang ada, ini adalah situasi menahan dan memantau, bukan menjual ke pasar yang tidak likuid dan bukan membeli sampai jalur pemulihan resmi dikonfirmasi. Untuk ekosistem DeFi yang lebih luas, inisiatif DeFi United mewakili respons krisis terkoordinasi terkuat dalam sejarah sektor ini. Jika berhasil, ini menetapkan standar baru tentang bagaimana DeFi menangani peristiwa black swan. Jika gagal, tekanan regulasi untuk asuransi DeFi wajib dan audit keamanan jembatan menjadi tidak terelakkan secara politik.
Serangan telah berakhir. Pemulihan telah dimulai. Hasilnya tergantung pada apakah nama-nama terbesar di DeFi dapat memenuhi komitmen terbesar mereka.
