KelpDAO dilaporkan telah kehilangan lebih dari US$292 juta setelah penyerang menguras posisi di beberapa decentralized finance (DeFi) protocol di Ethereum dan Arbitrum.
Penyelidik on-chain, ZachXBT, menandai insiden ini dan mengidentifikasi enam wallet yang dikuasai penyerang yang secara aktif memindahkan dana hasil curian.
Bagaimana Serangan ke KelpDAO Terjadi
Data blockchain menunjukkan wallet milik penyerang menerima dana awal melalui Tornado Cash, sebuah privacy mixer, beberapa jam sebelum pencurian dimulai.
Wallet tersebut kemudian berinteraksi dengan decentralized finance protocol dengan melakukan token approval dan swap melalui KyberSwap dan KelpDAO, lalu mengonversi semua posisi menjadi ether (ETH).
“KelpDAO nampaknya baru saja kehilangan lebih dari US$280 juta sekitar satu jam lalu di Ethereum dan Arbitrum. Alamat-alamat pelaku disuntik dana lewat Tornado Cash,” tulis ZachXBT di Telegram.
Dalam waktu kurang dari satu jam, pelaku mengonsolidasikan sekitar 75.700 ETH, setara sekitar US$178 juta pada harga sekarang, ke dalam satu wallet.
Sisa nilai yang dicuri berbentuk token lain serta posisi DeFi di Arbitrum. Sampai artikel ini diterbitkan, belum ada arus keluar dari wallet konsolidasi tersebut.
Pola serangan ini mengindikasikan adanya kompromi private key daripada eksploitasi smart-contract dari suatu protocol tertentu.
Korban diduga memiliki eksposur besar DeFi di kedua chain, dan pelaku secara sistematis menarik serta menukar posisi tersebut ke ETH murni.
Pola Serangan pada Whale yang Semakin Meningkat
Insiden ini terjadi di tengah meningkatnya serangan phishing dan social engineering yang menargetkan holder dengan nilai aset tinggi.
Pada Januari 2026 saja, satu korban phishing kehilangan US$284 juta, yang mencakup lebih dari 70% dari total kerugian pencurian aset kripto bulan itu.
Jika kerugian benar mencapai US$292 juta, ini akan menjadi salah satu kompromi wallet individu terbesar dalam sejarah.
Analis keamanan diperkirakan akan merilis analisis on-chain yang lebih mendalam dalam beberapa jam ke depan.
KelpDAO belum memberikan tanggapan publik terkait insiden ini dan belum merespons permintaan komentar dari BeInCrypto.
Di sisi lain, ada laporan bahwa akun Instagram dari launchpad meme coin Solana, Pump.fun, juga telah diretas.
“Semua posting yang dibuat dari akun Instagram resmi pump fun tidak boleh dipercaya. Abaikan seluruh postingan dari akun ini sampai kami berhasil mengamankan akun tersebut,” tulis tim mereka.
Meski begitu, platform Pump.fun tetap berjalan normal dan dana pengguna tetap aman.
