Protokol liquid restaking KelpDAO dilaporkan mengalami eksploitasi besar pada 18 April 2026, dengan total kerugian mencapai sekitar $292–294 juta. Insiden ini terjadi setelah penyerang berhasil mencetak token rsETH palsu dalam jumlah besar dan menggunakannya sebagai jaminan untuk meminjam ETH di platform lending. Peristiwa ini kini disebut sebagai eksploitasi DeFi terbesar sepanjang tahun 2026, melampaui kasus sebelumnya yang melibatkan Drift Protocol.

Kronologi Eksploitasi dan Aliran Dana

Berdasarkan data on-chain, pelaku berhasil mencetak sekitar 116.500 rsETH palsu dengan valuasi sekitar $294 juta. Token tersebut kemudian digunakan sebagai collateral di protokol peminjaman seperti Aave.

Dengan memanfaatkan aset yang tidak memiliki backing riil, penyerang meminjam sekitar 106.467 ETH dengan nilai sekitar $250 juta. Skema ini secara efektif memungkinkan pelaku menciptakan likuiditas “kosong” dan menukarnya dengan aset kripto asli yang memiliki nilai pasar.

Data dari platform intelijen blockchain seperti Arkham menunjukkan pergerakan dana yang signifikan dari kontrak terkait KelpDAO menuju berbagai alamat yang diduga dikendalikan oleh pelaku. 
Link on-chain: https://intel.arkm.com/explorer/entity/cdbcc1e6-dd2b-4b6c-9112-17ca3eff7bd3

Sebagai respons awal, KelpDAO segera melakukan pause kontraknya guna mencegah eksploitasi lanjutan. Sejumlah protokol lain juga mengambil langkah mitigasi dengan membekukan pasar rsETH guna membatasi dampak sistemik.

Dugaan Penyebab dan Analisis Teknis

Sejauh ini, penyebab utama eksploitasi diduga berasal dari celah dalam mekanisme minting rsETH, yang memungkinkan pencetakan token tanpa jaminan aset yang valid. Menurut analis on-chain, kegagalan validasi collateral atau oracle dapat menjadi titik lemah yang dimanfaatkan oleh pelaku.

“Eksploit ini menunjukkan adanya kegagalan dalam proses verifikasi aset dasar, yang seharusnya menjadi fondasi keamanan dalam protokol restaking,” ungkap salah satu analis DeFi.

Kasus ini kembali menyoroti risiko dalam sektor liquid restaking, terutama pada protokol yang mengelola derivatif staking seperti rsETH. Kompleksitas arsitektur smart contract dan integrasi lintas protokol meningkatkan potensi eksploitasi jika tidak diaudit secara menyeluruh.

Dampak ke Pasar dan Ekosistem

Eksploitasi ini memicu reaksi cepat di ekosistem DeFi, khususnya pada ekosistem yang terintegrasi dengan rsETH. Beberapa platform lending langsung menangguhkan penggunaan rsETH sebagai collateral untuk menghindari risiko gagal bayar.

Selain itu, insiden ini menggeser posisi eksploitasi terbesar tahun ini. Sebelumnya, Drift Protocol mencatat kerugian sekitar $285 juta pada 1 April 2026. Namun, dengan nilai kerugian yang lebih besar, KelpDAO kini menempati posisi pertama sebagai kasus peretasan DeFi terbesar di 2026.

Sentimen pasar terhadap sektor liquid restaking juga diperkirakan akan tertekan dalam jangka pendek, seiring meningkatnya kekhawatiran terhadap keamanan protokol sejenis.

Penutup

Eksploitasi KelpDAO menjadi pengingat penting akan tingginya risiko dalam ekosistem DeFi, terutama pada inovasi baru seperti liquid restaking. Meskipun menawarkan efisiensi modal, kompleksitas teknologi yang mendasarinya juga membuka potensi celah keamanan.

Ke depan, transparansi, audit smart contract, serta mekanisme mitigasi risiko akan menjadi faktor kunci dalam menjaga kepercayaan pengguna dan stabilitas ekosistem DeFi secara keseluruhan.