Protokol: Kelp DAO dieksploitasi senilai $292 juta

Berita Jaringan

EKSPLOITASI KELP DAO: Sebuah jembatan lintas-rantai yang menyimpan hampir seperlima dari pasokan beredar token ether yang telah di-restake baru saja dikuras, dan dampaknya menyebar melalui DeFi lebih cepat daripada Kelp DAO dapat menghentikan kontrak. Seorang penyerang menguras 116.500 rsETH (restaked ether) dari Kelp DAO's Jembatan yang didukung oleh LayerZero pada pukul 17:35 UTC selama akhir pekan, senilai sekitar $292 juta dengan harga saat ini dan mewakili sekitar 18% dari suplai token rsETH sebesar 630.000 yang beredar yang dilacak oleh CoinGecko. LayerZero adalah lapisan pesan lintas rantai, atau infrastruktur yang memungkinkan berbagai blockchain mengirim instruksi yang telah diverifikasi satu sama lain. Kelp DAO adalah protokol liquid restaking, yang mengambil ETH yang disetor oleh pengguna, mengarahkannya melalui EigenLayer untuk mendapatkan hasil tambahan di atas hadiah staking Ethereum standar, dan mengeluarkan rsETH sebagai tanda terima yang dapat diperdagangkan. Jembatan yang dikuras tersebut memegang cadangan rsETH yang mendukung versi token terbungkus yang diterapkan pada lebih dari 20 blockchain lainnya. Penyerang memanipulasi lapisan pesan lintas rantai LayerZero agar percaya bahwa instruksi yang valid telah diterima dari jaringan lain, yang memicu jembatan Kelp untuk melepaskan 116.500 rsETH ke alamat yang dikendalikan oleh penyerang. Multisig emergency pauser Kelp membekukan kontrak inti protokol 46 menit setelah pengurasan berhasil, pada pukul 18:21 UTC. Dua upaya susulan pada pukul 18:26 UTC dan 18:28 UTC keduanya gagal, masing-masing membawa paket LayerZero yang sama yang mencoba pengurasan tambahan 40.000 rsETH senilai sekitar $100 juta. — Shaurya Malwa Baca selengkapnya.

BUKU PANDUAN PERAMPOKAN KRIPTO KOREA UTARA: Kurang dari tiga minggu setelah peretas yang terkait dengan Korea Utara menggunakan rekayasa sosial untuk perusahaan perdagangan crypto terkemuka Drift, peretas yang terkait dengan negara tersebut tampaknya telah berhasil melakukan eksploitasi besar lainnya pada Kelp. Serangan terhadap Kelp, sebuah protokol restaking yang terhubung dengan infrastruktur lintas-rantai LayerZero, menunjukkan adanya evolusi dalam cara kerja peretas yang terkait dengan Korea Utara, tidak hanya mencari bug atau kredensial yang dicuri, tetapi mengeksploitasi asumsi dasar yang dibangun dalam sistem terdesentralisasi. Jika digabungkan, kedua insiden tersebut menunjukkan sesuatu yang lebih terorganisir daripada serangkaian peretasan satu kali, seiring Korea Utara terus meningkatkan upayanya untuk membajak dana dari sektor kripto. “Ini bukan serangkaian insiden; ini adalah sebuah irama,” kata Alexander Urbelis, chief information security officer dan penasihat umum di ENS Labs. “Anda tidak bisa memperbaiki masalah ini hanya dengan menambal jadwal pengadaan.” Lebih dari $500 juta disedot melalui eksploitasi Drift dan Kelp hanya dalam waktu sedikit lebih dari dua minggu. Pada dasarnya, eksploitasi Kelp tidak melibatkan pemecahan enkripsi atau pembobolan kunci. Sistem sebenarnya bekerja sesuai dengan desainnya. Sebaliknya, pelaku menyerang memanipulasi data yang masuk ke dalam sistem dan memaksanya untuk bergantung pada input yang telah dikompromikan tersebut, sehingga menyebabkan persetujuan transaksi yang sebenarnya tidak pernah terjadi. — Margaux Nijkerk Baca selengkapnya.

AAVE TERDAMPAK OLEH PERETASAN KELP DAO: Seorang penyerang mengeksploitasi pengaturan tersebut dengan memalsukan pesan transfer yang tampak valid. Sistem menyetujui transfer meskipun token tidak pernah dikeluarkan dari rantai pengirim, yang berarti token baru secara efektif dibuat tanpa dukungan, melepaskan 116.500 rsETH dari jembatan sisi Ethereum. Alih-alih menjual aset tersebut di pasar terbuka, penyerang menyimpan 89.567 rsETH ke dalam Aave sebagai jaminan dan meminjam sekitar $190 juta dalam ETH dan aset terkait di seluruh Ethereum dan Arbitrum, menurut laporan. Hal ini membuat Aave terekspos pada jaminan yang dukungannya mungkin sangat terganggu. Aave Labs mengatakan bahwa mereka bergerak cepat untuk mengendalikan risiko tersebut. Dalam beberapa jam, protokol membekukan pasar rsETH di seluruh implementasinya, menetapkan rasio pinjaman terhadap nilai menjadi nol, dan menghentikan peminjaman baru terhadap aset tersebut. Hasilnya kini sangat bergantung pada bagaimana Kelp menangani kekurangan dana tersebut. Jika kerugian tersebar ke semua pemegang rsETH, token tersebut akan menghadapi depegging sekitar 15% (berarti nilai token yang dipertaruhkan tidak akan sesuai dengan nilai ETH yang sebenarnya), mengakibatkan sekitar $124 juta dalam utang macet bagi Aave. Jika kerugian diisolasi pada jaringan Layer 2, dampaknya akan jauh lebih parah, dengan utang macet meningkat menjadi sekitar $230 juta dan terkonsentrasi pada jaringan seperti Arbitrum dan Mantle.— Margaux Nijkerk Baca selengkapnya.

COINBASE MEMESAN MAKALAH TENTANG RISIKO KOMPUTASI KUANTUM: Sebuah laporan baru yang dipesan oleh Coinbase mengeluarkan peringatan yang berhati-hati namun mendesak: Komputasi kuantum tidak akan menghancurkan kripto besok, tetapi industri tidak bisa menunggu. Makalah sepanjang 50 halaman tersebut, yang ditulis oleh dewan penasihat independen yang mencakup ahli kriptografi dan akademisi terkemuka seperti Dan Boneh dari Universitas Stanford, Justin Drake dari Ethereum Foundation, dan Sreeram Kannan dari Eigen Labs, menyimpulkan bahwa meskipun blockchain saat ini masih aman, “komputer kuantum toleran kesalahan” di masa depan yang mampu memecahkan enkripsi yang banyak digunakan semakin mungkin, dan persiapan harus dimulai sekarang. Dalam beberapa bulan terakhir, kekhawatiran terkait risiko kuantum semakin masuk ke ranah utama. Peneliti Google telah menerbitkan perkiraan yang menunjukkan bahwa kuantum yang cukup maju komputer suatu saat dapat memecahkan kriptografi Bitcoin. Ekosistem kripto utama telah mulai memetakan respons mereka. Ethereum Foundation telah mengusulkan jenis tanda tangan digital baru yang dirancang agar aman terhadap komputer kuantum, sementara Solana dan lainnya sedang bereksperimen dengan desain dompet yang tahan terhadap kuantum. Laporan tersebut menekankan bahwa mesin kuantum saat ini jauh dari cukup kuat untuk memecahkan kriptografi yang mendasari Bitcoin, Ethereum, dan jaringan lainnya. Memecahkan enkripsi standar akan memerlukan beban komputasi yang sangat besar, sebuah pencapaian yang masih dianggap sebagai tantangan teknik utama. — Margaux Nijkerk Baca selengkapnya.

Berita Lainnya

• Sebagian dari hasil Kelp DAO tidak akan digunakan lagi. Dewan Keamanan Arbitrum membekukan 30.766 ETH senilai sekitar $71 juta pada Senin malam, memindahkan dana yang terkait dengan eksploitasi rsETH senilai $292 juta pada hari Sabtu ke dalam dompet perantara yang hanya dapat diakses melalui tindakan tata kelola Arbitrum lebih lanjut. Dewan tersebut mengatakan bahwa mereka bertindak berdasarkan masukan dari penegak hukum mengenai identitas pelaku eksploitasi dan melaksanakan pembekuan tersebut "tanpa mempengaruhi pengguna atau aplikasi Arbitrum manapun." Transfer tersebut selesai pada pukul 11:26 malam ET tanggal 20 April, menurut pernyataan Arbitrum di X. Dana yang dicuri tersebut kini tidak lagi berada di bawah kendali alamat yang awalnya menyimpannya. — Shaurya Malwa Baca selengkapnya.
• Sebuah Kontrak Polymarket mengenai apakah Kelp DAO akan menyebarkan kerugian dari eksploitasi sebesar $292 juta pada akhir pekan di luar pihak-pihak yang langsung terdampak mengarah pada jawaban yang jelas: kemungkinan besar tidak. Para petaruh memberikan peluang sebesar 14% bahwa Kelp akan "mensosialisasikan kerugian," atau menerapkan mekanisme yang memaksa pemegang rsETH di Ethereum, yang tidak terkena dampak, untuk berbagi beban kerugian pengguna di rantai lain. Para penyerang menguras sekitar 116.500 rsETH dari jembatan yang didukung LayerZero yang menahan cadangan yang mendukung token tersebut di lebih dari 20 blockchain. Hal itu menyebabkan sebagian sistem menjadi kurang dijamin, dengan beberapa pemegang secara efektif memiliki token yang tidak lagi sepenuhnya didukung oleh ether (ETH). “Mensosialisasikan kerugian” berarti Kelp mendistribusikan kekurangan tersebut ke semua pemegang rsETH, termasuk mereka yang berada di mainnet Ethereum, alih-alih membiarkan kerugian terkonsentrasi di antara pengguna dan protokol yang terkait dengan jembatan yang terkena dampak. Preseden yang paling banyak dikutip dari pendekatan ini datang pada tahun 2016, ketika Bitfinex memberlakukan kerugian pada semua pengguna setelah peretasan senilai $60 juta, secara efektif memutualisasikan kerugian untuk menghindari penutupan. — Sam Reynolds Baca selengkapnya.

Regulasi dan Kebijakan

• April tampaknya menjadi bulan yang hilang bagi Undang-Undang Kejelasan Crypto, tetapi dengar pendapat komite Senat AS yang dijadwalkan pada bulan Mei dapat menjaga agar legislasi struktur pasar yang krusial ini tetap hidup, selama undang-undang tersebut dapat mencapai pemungutan suara final di seluruh Senat pada bulan Juli, menurut para pelobi dan asisten anggota legislatif yang fokus pada kemajuan lambat RUU struktur pasar tersebut. Kalender legislatif semakin menipis untuk tahun ini, tetapi seorang asisten Senat mengatakan kepada CoinDesk bahwa potensi penundaan baru selama beberapa minggu — memungkinkan Senator Republik Thom Tillis menyelesaikan pembicaraan dengan para bankir terkait kekhawatiran hasil stablecoin — belum mendorong pekerjaan ini melewati titik tanpa jalan kembali. Asisten tersebut juga menyampaikan bahwa negosiasi awal mengenai perlindungan keuangan terdesentralisasi (DeFi) pada dasarnya telah disepakati, meninggalkan sedikit hambatan lain di jalur persetujuan komite. Salah satu masalah utama yang dihadapi industri crypto (jika dapat melewati rintangan keras keberatan sektor perbankan terkait penghargaan stablecoin) adalah bahwa dengar pendapat Komite Perbankan Senat yang harus dilewati RUU ini hanya akan menjadi langkah pertama dari banyak tahap. — Jesse Hamilton Baca selengkapnya.
• Pencipta Tron, Justin Sun, menggugat World Liberty Financial, perusahaan stablecoin dan kripto yang didukung oleh anggota keluarga Presiden AS Donald Trump, pada hari Selasa, dengan tuduhan bahwa proyek tersebut secara tidak adil mengunci kepemilikan $WLFI miliknya, melakukan pernyataan palsu yang menipu, serta mengancam dan mendiskreditkan Sun. Gugatan yang diajukan, yang mencakup sebuah pernyataan mengenai dukungan Sun terhadap Trump sendiri, menuduh bahwa kepemimpinan World Liberty telah terlibat dalam "skema ilegal untuk merebut properti" dalam bentuk token milik Sun, yang menurut Sun telah dibelinya setelah diajak oleh tim World Liberty pada tahun 2024. "Pada saat krusial bagi World Liberty tersebut, Tuan Sun menginvestasikan $45 juta untuk membeli token $WLFI dari World Liberty tidak hanya karena klaim proyek tersebut yang akan mendorong adopsi keuangan terdesentralisasi — sebuah isu yang sangat diperhatikan oleh Tuan Sun dan yang telah menjadi fokus sebagian besar pekerjaan hidupnya — tetapi juga karena keterlibatan keluarga Trump dengan proyek tersebut," kata gugatan tersebut.— Nikhilesh De & Sam Reynolds Baca selengkapnya.

Kalender

• 5-7 Mei 2026: Konsensus, Miami
• 2-3 Juni 2026: Bukti Bicara, Paris
• 8-10 Juni 2026: ETHConf, New York
• 29 Sept.-1 Okt. 2026: Minggu Blockchain Korea, Seoul
• 7-8 Okt. 2026: Token2049, Singapura
• 3-6 Nov. 2026: Devcon, Mumbai
• 15-17 Nov. 2026: Solana Breakpoint, London