Eksploit Jembatan Kelp DAO Berujung pada $293M Mint, Meninggalkan Aave Dengan Lebih dari $200M dalam Utang Buruk

Pesan Berita Gate, 19 April — Pada 18 April pukul 17:35 UTC, seorang penyerang mengeksploitasi kerentanan pada jembatan lintas-chain Kelp DAO yang didukung LayerZero, melepaskan 116.500 rsETH (sekitar $293 juta dan kira-kira 18% dari pasokan beredar token tersebut) ke dompet yang dikendalikan penyerang tanpa adanya ETH yang dikunci. Penyerang kemudian menyetor rsETH tanpa jaminan ke Aave V3 dan V4 sebagai jaminan, meminjam wrapped ether nyata (WETH) terhadapnya. Pada saat multisig darurat Kelp membekukan protokol 46 menit kemudian, WETH telah ditarik.

Kerentanan jembatan memungkinkan penyerang mengirim pesan buatan yang lolos pemeriksaan verifikasi meskipun tidak ada penyetoran aktual di rantai sumber. Dua upaya lanjutan pada 18:26 dan 18:28 UTC untuk menguras tambahan 40.000 rsETH masing-masing dibatalkan setelah jeda diaktifkan.

Aave kini menanggung antara $177 juta dan $236 juta dalam utang buruk, terkonsentrasi pada pasangan rsETH/WETH di Ethereum. Total value locked (TVL) platform tersebut $6 turun kira-kira ( miliar, utilisasi pasar WETH mencapai 100% )mencegah penarikan lebih lanjut$50 , dan token AAVE turun lebih dari 18%. Dana asuransi Umbrella Aave memegang sekitar $1 juta, menyisakan kesenjangan yang signifikan. Posisi pinjaman secara efektif tidak dapat dilikuidasi karena jaminan rsETH tidak dapat ditebus dan tidak akan diperdagangkan mendekati peg setelah pasokan tanpa jaminan sepenuhnya diakui.

SparkLend, Fluid, dan Upshift menjeda atau membekukan rsETH dalam hitungan jam; arsitektur pasar terisolasi Morpho membatasi paparan hingga sekitar $450 juta di dua pasar. rsETH di lebih dari 20 chain sekarang menghadapi ketidakpastian dukungan sampai Kelp menerbitkan rekonsiliasi cadangan terhadap pasokan yang masih beredar. Eksploit ini menandai insiden DeFi terbesar di 2026, dengan kerugian kumulatif DeFi untuk tahun tersebut mencapai antara $482 juta dan juta di sekitar 45 protokol.