Kelp DAO menghadapi krisis keamanan besar setelah sebuah eksploitasi pada jembatan lintas rantai rsETH yang tampaknya menguras sekitar 116.500 rsETH, senilai kira-kira $292 juta pada saat serangan. Berdasarkan laporan dan data on‑chain, penyerang tampaknya menggunakan pesan LayerZero untuk memicu pelepasan dana dari sistem jembatan Kelp DAO. Insiden ini cepat menyebar ke pasar kripto karena rsETH banyak dipakai dalam DeFi, terutama sebagai jaminan di platform pinjaman.
Kasus ini penting karena rsETH adalah token restaking likuid. Itu berarti pengguna menyetor aset yang terkait dengan staking Ethereum dan menerima token yang dapat mereka pindahkan, perdagangkan, atau gunakan dalam DeFi sambil tetap mempertahankan eksposur staking. Kelp DAO membangun rsETH untuk beroperasi di banyak blockchain, dan di situlah risiko berkembang. Standar OFT (Omnichain Fungible Token) LayerZero dirancang untuk memindahkan satu token lintas banyak rantai sekaligus mempertahankan pasokan bersama. Hal ini mempermudah penggunaan lintas rantai, tetapi juga menjadikan keamanan jembatan pusat bagi keselamatan token.
Laporan menyebutkan drain pertama yang berhasil terjadi pada pukul 17:35 UTC. Kelp DAO kemudian menggunakan multisig emergency pauser sekitar 46 menit kemudian untuk membekukan kontrak inti. Penangguhan ini tampaknya menghentikan dua upaya selanjutnya untuk mengalirkan tambahan 40.000 rsETH. Kelp menyatakan telah mengidentifikasi aktivitas lintas rantai yang mencurigakan dan bekerja sama dengan LayerZero, Unichain, auditor, serta pakar keamanan eksternal untuk menyelidiki penyebabnya. Secara sederhana, serangan tampaknya menargetkan logika jembatan yang memungkinkan rsETH berpindah antar jaringan, bukan dompet biasa atau bug front‑end sederhana.
Serangan ini juga menimbulkan kekhawatiran karena dompet yang terkait dengan eksploitasi dilaporkan didanai melalui Tornado Cash sebelum kejadian. Dalam eksploitasi DeFi, hal ini biasanya menandakan upaya menyembunyikan jejak uang. Penyelidik blockchain ZachXBT menandai serangan tersebut tak lama setelah terjadi, dan pengamat pasar mulai memperhatikan berapa banyak pasokan rsETH yang terdampak. Laporan menyebutkan jumlah yang dicuri sekitar 18 % dari rsETH yang beredar, cukup besar untuk menimbulkan tekanan pada pasar pinjaman, feed harga, dan sistem risiko.
Inilah mengapa Aave bertindak cepat. Aave membekukan pasar rsETH di V3 dan V4 serta menyatakan kontrak pintar mereka bukan sumber eksploitasi. Masalah utama bagi Aave adalah utang buruk. Dalam pinjaman, utang buruk dapat muncul ketika jaminan kehilangan nilai atau tidak dapat dilikuidasi tepat waktu. Dokumen Aave mencatat bahwa risiko jembatan dan jaringan dapat memperparah masalah ini. Sistem Umbrella mereka dibangun sebagai alat risiko on‑chain otomatis untuk membantu menutupi defisit, meskipun Aave kemudian melunakkan pernyataan publiknya dan mengatakan akan mengeksplorasi cara mengimbangi defisit dari peristiwa ini.
Ini juga bukan pertama kali rsETH mengalami masalah. Kelp DAO pernah mengalami insiden pada April 2025, ketika mereka menghentikan setoran dan penarikan setelah bug kontrak fee menyebabkan pencetakan rsETH berlebih. Kelp menyatakan tidak ada dana pengguna yang hilang dalam kasus itu, tetapi eksploitasi baru ini jauh lebih serius karena tampaknya melibatkan kehilangan dana secara langsung dalam skala besar. Riwayat tersebut penting. Dalam kripto, satu insiden dapat dianggap sebagai kesalahan. Dua insiden dalam setahun menimbulkan pertanyaan lebih berat tentang desain, pengujian, dan kontrol operasional.
Pelajaran utama dari eksploitasi Kelp DAO adalah risiko DeFi tidak berhenti pada satu protokol. Serangan jembatan dapat menyerang token, kemudian menyebar ke pasar pinjaman, dan akhirnya memengaruhi pengguna yang tidak pernah menyentuh jembatan sama sekali. Itulah biaya tersembunyi dari komposabilitas. Sistem seperti Kelp DAO, LayerZero, dan Aave dibangun untuk menghubungkan pasar kripto, tetapi koneksi yang kuat juga membawa stres lebih cepat ketika sesuatu rusak. Bagi pengguna, eksploitasi Kelp DAO mengingatkan bahwa restaking likuid, token lintas rantai, dan hasil DeFi dapat menawarkan fleksibilitas, tetapi juga menambahkan lapisan risiko kontrak pintar, risiko jembatan, dan risiko jaminan yang dapat semuanya gagal sekaligus.
