Kelp DAO diserang pada 18 April 2026, peretas berhasil mencetak 116.500 rsETH tanpa dukungan aset nyata dengan memboboti satu node validasi LayerZero. Insiden ini telah menyebabkan kerugian lebih dari $6 miliar di seluruh industri DeFi dalam beberapa minggu terakhir, dengan total kerugian kumulatif dari berbagai protokol mendekati $10 miliar. Data on-chain menunjukkan bahwa modal sedang dipercepat penarikannya dari protokol restaking, pinjaman, dan jembatan lintas rantai, dengan total nilai terkunci (TVL) DeFi telah turun ke titik terendah dalam 12 bulan terakhir.
Inti masalah dari insiden ini adalah apakah satu node validasi yang salah konfigurasi mengungkapkan kerapuhan sistemik dari infrastruktur DeFi lintas rantai secara keseluruhan. Jembatan lintas rantai rsETH Kelp DAO bergantung pada satu node jaringan validasi terdesentralisasi untuk memverifikasi pesan LayerZero, konfigurasi "1-of-1" titik tunggal ini sebelumnya telah diperingatkan oleh perusahaan keamanan Halborn. Penyerang (yang oleh LayerZero diidentifikasi sebagai grup TraderTraitor dari Lazarus Group Korea Utara) memboboti dua node RPC yang menyediakan data ke validator tersebut, dan meluncurkan serangan DDoS terhadap node cadangan untuk memaksa failover, akhirnya menyuntikkan pesan penipuan untuk mencetak rsETH dalam jumlah besar.
Kerugian dengan cepat menyebar. 116.500 rsETH yang dicetak menciptakan kredit macet di pasar pinjaman yang menerima token ini sebagai jaminan, Halborn menggambarkan ini sebagai "ruang gema" dari pesan palsu. Analisis menunjukkan bahwa masalahnya bukan terletak pada alat itu sendiri, tetapi pada cara konfigurasinya. Ini berarti serangan ini tidak mengeksploitasi kerentanan zero-day, melainkan memanfaatkan konfigurasi yang salah yang sudah ada peringatannya. Arsitektur validator dengan titik kegagalan tunggal telah menjadi permukaan serangan yang jelas.
Data TVL mengungkapkan keseriusan pelarian modal. Di bawah tekanan makro, total TVL DeFi telah terus menyusut pada kuartal pertama 2026, dan insiden Kelp DAO mempercepat tren ini, membuatnya turun secara vertikal. Data menunjukkan bahwa dalam 48 jam setelah serangan pada 18 April, arus keluar TVL mencapai $13 miliar. Di antaranya, TVL Aave anjlok dari $26,4 miliar menjadi sekitar $18 miliar, karena membekukan pasar rsETH, pengguna menarik dana secara besar-besaran untuk menghindari risiko kredit macet potensial. Tim risiko Aave saat ini sedang mensimulasikan dua skenario kredit macet berdasarkan tingkat pemulihan rsETH tanpa jaminan yang digunakan sebagai jaminan.