KelpDAO Menyalahkan LayerZero atas Eksploitasi $292 Juta
KelpDAO menyalahkan LayerZero atas eksploitasi senilai $292 juta dan berencana untuk meluncurkan kembali dengan sistem lintas rantai yang dirancang ulang di Chainlink, menurut pernyataan kelompok tersebut di X pada hari Selasa. “Dari insiden 18 April, jelas bahwa infrastruktur LayerZero sendiri dieksploitasi, mengakibatkan kerugian sebesar $300 juta di seluruh DeFi,” tulis KelpDAO di X. “Laporan independen dari SEAL 911, Chainalysis, dan peneliti keamanan terkemuka lainnya semuanya mengarah pada asal yang sama.”
Detail Eksploitasi
Pada bulan April, sebuah serangan menguras sekitar 116.500 rsETH—token staking berbasis Ethereum—dari jembatan lintas rantai yang digunakan oleh Kelp, sebuah protokol yang memungkinkan pengguna untuk melakukan staking Ethereum dan memindahkan token antar blockchain. Eksploitasi ini telah dikaitkan dengan Grup Lazarus dari Korea Utara. Dalam posting terpisah di X, Kelp menyatakan bahwa personel LayerZero menyetujui konfigurasi yang terkait dengan eksploitasi dan tidak memperingatkan bahwa itu menimbulkan risiko keamanan. Pengaturan yang dikenal sebagai verifier 1-dari-1 ini bergantung pada satu entitas untuk memvalidasi transaksi lintas rantai. Kelp mengklaim bahwa serangan tersebut berasal dari pelanggaran infrastruktur LayerZero, di mana para penyerang mengkompromikan node RPC jaringan verifier dan memaksa sistem untuk bergantung pada data yang dimanipulasi, sehingga memungkinkan transaksi palsu disetujui.
“Setelah eksploitasi, LayerZero mengumumkan bahwa mereka tidak akan lagi menandatangani atau mengesahkan pesan untuk aplikasi apa pun yang menggunakan konfigurasi DVN 1-1,” tulis Kelp. “Perubahan kebijakan itu, yang dibuat setelah ratusan juta dolar dieksploitasi, mengonfirmasi bahwa ini adalah konfigurasi LayerZero yang banyak digunakan yang hanya diubah oleh LayerZero Labs setelah gagal.”
Pernyataan LayerZero dan Tanggapan KelpDAO
Dalam pernyataan bulan April, LayerZero membantah klaim tersebut, mengatakan bahwa eksploitasi itu terisolasi pada aplikasi rsETH Kelp dan disebabkan oleh penggunaan pengaturan verifier tunggal yang bertentangan dengan model multi-verifier yang direkomendasikan perusahaan. “Pernyataan itu tidak sesuai dengan fakta,” tulis KelpDAO. “Ini adalah masalah domain publik bahwa pengaturan 1-1 ini tidak unik untuk Kelp.”
Menurut Kelp, mereka mengikuti dokumentasi dan konfigurasi default LayerZero. Perusahaan juga menyatakan bahwa pengaturan tersebut banyak digunakan di seluruh ekosistem, menunjuk pada data yang menunjukkan bahwa sebagian besar aplikasi bergantung pada konfigurasi serupa.
Rencana Migrasi ke Chainlink
Kelp mengumumkan bahwa mereka sedang memindahkan sistem rsETH mereka ke protokol interoperabilitas lintas rantai Chainlink, di mana transaksi harus disetujui oleh beberapa validator independen alih-alih satu verifier. “Kami berkomitmen untuk bekerja dengan tim KelpDAO dalam meningkatkan keamanan lintas rantai rsETH dan mendukung migrasi mereka ke Chainlink CCIP,” kata Johann Eid, Chief Business Officer Chainlink kepada Decrypt. “Kami telah lama percaya bahwa agar DeFi mencapai potensi penuhnya dalam membawa triliunan ke onchain, ekosistem perlu didukung oleh infrastruktur yang sangat aman.”
Dampak Hukum dan Keamanan
Dampak dari eksploitasi Kelp telah melampaui perselisihan teknis. Sekitar $71 juta dalam kripto yang terkait dengan eksploitasi dibekukan di jaringan Arbitrum, memicu pertarungan hukum di pengadilan federal New York. “Ada pertanyaan yang layak dijawab oleh ekosistem,” tulis KelpDAO. “Dan kami memastikan rsETH diamankan oleh infrastruktur yang tidak membiarkan pertanyaan-pertanyaan ini terbuka.” LayerZero tidak segera menanggapi permintaan komentar dari Decrypt.
