Satu pelanggaran keselamatan yang besar telah mengejutkan dunia kewangan terdesentralisasi (DeFi), apabila Kelp DAO, sebuah platform terkenal yang mengkhusus dalam staking cair dan penyelesaian rentas-rantai, menjadi mangsa eksploitasi besar. Serangan ini, yang menyasarkan jambatan rsETH berkuasa LayerZero, telah menyebabkan kehilangan 116,500 token rsETH, bernilai kira-kira $292 juta. Insiden ini merupakan salah satu eksploitasi DeFi terbesar setakat ini dan menonjolkan kerentanan yang semakin meningkat yang dihadapi sektor ini. Pelanggaran ini bukan sahaja memberi kesan kepada Kelp DAO tetapi juga turut meresap ke seluruh landskap DeFi yang lebih luas, menekankan kebimbangan mendesak mengenai keselamatan protokol blockchain yang canggih.
Apa Yang Terjadi dalam Eksploitasi Kelp DAO?
Insiden ini berlaku apabila penyerang berjaya mengkompromikan jambatan rsETH berkuasa LayerZero dalam infrastruktur Kelp DAO. Jambatan rentas-rantai ini adalah pusat kepada misi Kelp DAO untuk menyediakan penyelesaian staking cair yang terdesentralisasi merentasi Ethereum dan pelbagai rangkaian lain. Penyerang bertindak pantas, memindahkan token rsETH yang dicuri ke beberapa protokol pinjaman DeFi utama, termasuk Aave, Compound, dan Euler.
Melalui satu operasi yang terancang, rsETH yang dicuri digunakan sebagai cagaran dalam platform ini, membolehkan penyerang meminjam sejumlah besar ETH. Taktik ini bukan sahaja membolehkan pengeluaran nilai secara cepat tetapi juga meninggalkan protokol-protokol itu dengan “hutang tidak baik” yang ketara apabila cagaran palsu itu hilang. Apabila eksploitasi ini menjadi jelas, terdapat kesan serta-merta dan berantai terhadap solvabiliti protokol pinjaman serta keyakinan keseluruhan dalam ekosistem DeFi.
Tindak Balas Segera Kelp DAO
Selepas eksploitasi berlaku, Kelp DAO bertindak pantas untuk meminimumkan kerosakan lanjut. Pasukan mereka mengesahkan pelanggaran ini secara terbuka melalui saluran media sosial rasmi dan serta-merta menghentikan semua kontrak rsETH di rangkaian utama Ethereum serta beberapa rangkaian Layer 2 terkenal. Tindakan ini bertujuan untuk menghentikan aktiviti mencurigakan tambahan dan mengelakkan lebih banyak aset daripada dikompromikan.
Pasukan Kelp DAO mengumumkan bahawa mereka sedang bekerjasama rapat dengan rakan teknologi utama dan pakar keselamatan untuk menyiasat punca sebenar eksploitasi. Kerjasama telah dijalankan dengan LayerZero, Unichain, dan firma audit pihak ketiga untuk menjejaki insiden dan mengukuhkan pertahanan daripada pencerobohan lanjut. Objektifnya adalah untuk memahami dengan tepat bagaimana penyerang menemui dan mengeksploitasi kelemahan tersebut, serta membangunkan pelan tindakan untuk mengurangkan risiko sistemik baki di seluruh sektor DeFi yang berhubung rapat.
Kesan Terhadap Ekosistem DeFi Lebih Luas
Implikasi eksploitasi Kelp DAO dirasai secara meluas. Protokol pinjaman seperti Aave, yang telah digunakan dalam rancangan penyerang, terpaksa menghentikan pasaran dan menggantung perdagangan berkaitan aset rsETH yang terjejas. Apabila skala eksploitasi diketahui, panik melanda sektor itu, dengan harga token AAVE turun ketara kepada $99.60 di tengah-tengah kebimbangan mengenai penyebaran hutang tidak baik.
Bagi Kelp DAO, yang diasaskan pada 2023 dan dengan pantas mendapat pengiktirafan atas token staking cair serta penyelesaian rentas-rantai yang inovatif, eksploitasi ini merupakan satu kemunduran besar. Fokus protokol pada strategi kecairan terdesentralisasi, yang disepadukan dengan rangkaian blockchain utama dan penyedia keselamatan, telah menjadikannya pemain utama dalam bidang DeFi yang berkembang pesat. Namun begitu, insiden ini menonjolkan risiko berterusan dan kecanggihan penyerang yang semakin meningkat terhadap aplikasi terdesentralisasi dan kontrak pintar.
Sektor DeFi Berdepan Siri Serangan yang Tidak Pernah Berlaku Sebelum Ini
Pelanggaran di Kelp DAO bukan berlaku secara bersendirian. Ia sebenarnya sebahagian daripada corak serangan yang semakin meningkat terhadap protokol DeFi, terutamanya sepanjang April 2026. Dalam hanya dua minggu, lebih daripada $600 juta telah disedut keluar dari sekurang-kurangnya sepuluh projek berbeza, menandakan salah satu kitaran paling merosakkan dalam rekod keselamatan DeFi.
Perhatian khusus, lonjakan serangan ini menunjukkan bagaimana penggodam menjadi semakin sofistikated. Menurut penganalisis blockchain, penggunaan kecerdasan buatan (AI) oleh penjenayah siber adalah faktor utama yang mendorong trend ini. AI kini digunakan untuk mengimbas kelemahan secara automatik, mensimulasikan senario penggodaman, dan bahkan menjalankan eksploitasi kejuruteraan sosial lanjutan yang sukar dilakukan secara manual.
Bagaimana AI dan Kejuruteraan Sosial Memperhebat Eksploitasi DeFi
Peranan AI dalam membolehkan pelanggaran yang lebih pantas dan lebih berkesan tidak boleh dipandang ringan. Dalam satu contoh penting dari gelombang serangan terbaru, Drift Protocol mengalami kerugian $285 juta dalam operasi yang dipercayai diatur oleh aktor yang disokong negara Korea Utara. Penyerang ini menggunakan kejuruteraan sosial bertenaga AI, menghabiskan berbulan-bulan mendapatkan akses dalaman ke sistem kritikal sebelum memulakan kecurian yang berlaku hanya dalam 12 minit.
Dengan menggabungkan penipuan yang sabar dan seperti manusia dengan eksploitasi sepantas mesin, penyerang telah menunjukkan tahap kelicikan baru. Gabungan AI dengan kejuruteraan sosial dan eksploitasi teknikal menetapkan piawaian yang membimbangkan terhadap apa yang kini harus dipertahankan oleh protokol DeFi.
Insiden Besar Lain: Pelbagai Sasaran
Pelanggaran profil tinggi bukan terhad kepada Kelp DAO dan Drift Protocol sahaja. Beberapa projek DeFi lain turut mengalami kerugian besar baru-baru ini:
- Rhea Finance, Grinex, Hyperbridge, Aethir, Dango, dan Silo Finance: Setiap protokol ini telah melaporkan insiden besar dalam beberapa minggu kebelakangan ini.
- Grinex: Pertukaran Rusia yang disekat terpaksa menghentikan semua operasi selepas serangan $15 juta melumpuhkan sistem terasnya.
- Hyperbridge: Penyerang berjaya mencipta token DOT palsu, dengan nilai teori $1 bilion. Kerugian sebenar yang direalisasi terhad kepada $237,000 disebabkan kekangan kecairan, tetapi kejadian ini menyerlahkan potensi penyalahgunaan protokol yang membimbangkan melalui kerentanan penciptaan token.
Contoh-contoh ini mengambarkan suasana yang semakin berbahaya walaupun untuk protokol yang dibina dengan sangat berhati-hati.
Kelemahan Baru: Serangan Frontend dan Oracle
Selain manipulasi kontrak pintar dan jambatan, penyerang telah mula menyasarkan komponen kritikal lain dalam ekosistem DeFi:
- Eksploitasi Frontend: Antaramuka frontend CoW Swap telah dirampas melalui eksploitasi sistem nama domain, mengarahkan pengguna tanpa sedar ke portal phishing yang direka untuk mencuri aset mereka.
- Serangan Oracle dan Kecurian Kredensial: Zerion, satu lagi platform DeFi utama, menghadapi pelanggaran serius yang berkaitan dengan kecurian kredensial. Serangan ini dipercayai berkaitan dengan kumpulan Korea Utara yang menggunakan eksploitasi teknikal dan teknik kejuruteraan sosial lanjutan.
Seruan Meningkat untuk Keselamatan DeFi yang Lebih Baik
Seperti yang didedahkan oleh serangan ini, kerumitan dan kebolehrangkuman yang menjadikan DeFi berkuasa juga memperkenalkan risiko baru, terutamanya apabila projek saling berinteraksi dalam rangkaian yang sangat berhubung. Apabila kelemahan dalam satu protokol boleh merebak melalui jambatan dan platform pinjaman, hasilnya ialah ketidakstabilan meluas dan kerugian pengguna yang ketara.
Firma keselamatan dan juruaudit blockchain menggandakan usaha untuk bekerjasama dengan pasukan projek, menawarkan respons kecemasan dan analisis selepas kejadian bagi setiap pelanggaran. Ramai dalam komuniti DeFi kini menggesa untuk piawaian kontrak pintar yang dinaik taraf, pemantauan off-chain yang dipertingkat, dan ujian penembusan yang lebih menyeluruh sebelum pelancaran atau naik taraf protokol.
Selain itu, seruan semakin kuat supaya projek mengehadkan kebolehrangkuman, mengasingkan risiko dalam kontrak dan rangkaian individu sebanyak mungkin, daripada membenarkan isu meresap ke seluruh pelbagai platform yang saling berhubung.
Melangkah ke Hadapan: Bolehkah DeFi Kembali Mendapat Keyakinan?
Ketika kesan daripada insiden Kelp DAO berterusan, persoalan masih berlegar tentang halatuju masa depan keselamatan DeFi. Walaupun inovasi dalam blockchain dan kewangan terdesentralisasi kekal kukuh, eksploitasi baru-baru ini menjadi peringatan yang menyedarkan tentang ancaman berterusan yang menyelubungi setiap kemajuan teknologi.
Untuk industri DeFi terus berkembang, membina semula kepercayaan pengguna adalah paling utama. Ini mungkin memerlukan bukan sahaja peningkatan teknikal dan amalan keselamatan yang lebih bijak, tetapi juga ketelusan yang lebih besar, pendedahan insiden yang pantas, dan mekanisme pampasan yang bermakna dan berfokus kepada pengguna untuk mangsa serangan yang berjaya.
Eksploitasi Kelp DAO telah menjadi titik perubahan dalam evolusi berterusan kewangan terdesentralisasi, membawa pengajaran penting kepada pembangun, juruaudit, dan pengguna. Dengan lebih banyak modal pintar dan bakat teknikal memasuki bidang ini, perlumbaan antara pembela dan penyerang pasti akan menjadi lebih sengit. Hanya masa yang akan menentukan pihak mana yang akan mendapat kelebihan, namun peristiwa April 2026 pasti akan meninggalkan kesan mendalam pada seni bina masa depan ekosistem DeFi.
