Eksploitasi Kelp DAO oleh Grup Lazarus
LayerZero mengungkapkan bahwa Grup Lazarus dari Korea Utara kemungkinan merupakan pelaku di balik eksploitasi Kelp DAO yang mengakibatkan kerugian sebesar 116.500 rsETH, setara dengan sekitar $292 juta. Dalam pernyataannya, perusahaan tersebut menyebutkan bahwa indikator awal menunjukkan adanya “pelaku negara yang sangat canggih” dan secara spesifik merujuk pada “Grup Lazarus DPRK, lebih tepatnya TraderTraitor”. Serangan ini terjadi pada 18 April dan dengan cepat menjadi eksploitasi DeFi terbesar yang dilaporkan tahun ini.
Detail Serangan
LayerZero menjelaskan bahwa penyerang menargetkan sistem yang digunakan untuk memverifikasi pesan lintas rantai, yang memungkinkan pesan palsu untuk lolos dan membuka kunci token di jembatan. Penyerang berhasil mengakses daftar node RPC yang digunakan oleh jaringan terverifikasi terdesentralisasi LayerZero Labs (DVN). Setelah itu, mereka meracuni dua dari node tersebut sehingga mengirimkan pesan lintas rantai palsu ke jaringan verifier. Secara bersamaan, penyerang meluncurkan serangan DDoS terhadap node bersih, memaksa DVN untuk bergantung pada node yang telah diracuni. Kombinasi dari serangan ini memungkinkan pesan palsu untuk bergerak melalui sistem dan memicu pembukaan kunci token yang menyebabkan kerugian.
Poin Kelemahan Kelp DAO
LayerZero juga menyoroti bahwa kerusakan ini terjadi karena Kelp DAO menggunakan pengaturan DVN 1-of-1 tanpa verifier cadangan. Hal ini menciptakan titik kegagalan tunggal, tanpa adanya pemeriksaan independen untuk menolak pesan palsu sebelum jembatan melepaskan dana. Dalam pernyataannya, LayerZero menyatakan,
“Mengoperasikan konfigurasi titik kegagalan tunggal berarti tidak ada verifier independen untuk menangkap dan menolak pesan yang dipalsukan.”
Mereka juga menambahkan,
“LayerZero dan pihak eksternal lainnya sebelumnya telah mengkomunikasikan praktik terbaik mengenai diversifikasi DVN kepada Kelp DAO.”
Sebagai langkah pencegahan, perusahaan menyatakan bahwa mereka tidak akan lagi menandatangani pesan untuk aplikasi yang menggunakan pengaturan DVN 1/1.
Dampak di Ekosistem DeFi
Eksploitasi ini menimbulkan dampak besar di seluruh ekosistem DeFi setelah penyerang memindahkan rsETH yang dicuri ke Aave V3 dan menggunakannya sebagai jaminan untuk meminjam jumlah besar WETH. Hal ini menimbulkan kekhawatiran tentang kemungkinan utang buruk di Aave dan menyebabkan protokol tersebut membekukan pasar rsETH di V3 dan V4. Pendiri Aave, Stani Kulechov, mengonfirmasi bahwa “rsETH telah dibekukan di Aave V3 dan V4” dan menambahkan bahwa aset tersebut tidak lagi memiliki kekuatan pinjaman akibat eksploitasi jembatan Kelp DAO. Data historis dari Aavescan menunjukkan lebih dari $10 miliar keluar dari Aave setelah serangan, dengan total dana yang disuplai jatuh menjadi $35,7 miliar dari $45,8 miliar.
Reaksi Protokol DeFi Lainnya
Dampak dari kejadian ini meluas di luar Aave. Beberapa protokol DeFi, termasuk Ethena, ether.fi, Tron DAO, dan Curve Finance, menghentikan jembatan OFT LayerZero sebagai langkah pencegahan. Data dari DefiLlama menunjukkan total nilai terkunci DeFi turun 7% dalam 24 jam menjadi sekitar $86,3 miliar, turun dari $99,5 miliar pada 18 April. LayerZero menyatakan bahwa tidak ada penularan untuk aset atau aplikasi lain yang menggunakan pengaturan multi-DVN, sementara upaya penegakan hukum untuk melacak dana terus berlanjut.
