Serangan Bridge KelpDAO: Pencurian $292 Juta rsETH
LayerZero Labs telah merilis laporan insiden tentang serangan bridge KelpDAO, mengkonfirmasi bahwa sekitar $292 juta rsETH dicuri setelah penyerang meracuni infrastruktur RPC yang digunakan oleh jaringan verifikasinya dan memaksa perubahan kebijakan seputar konfigurasi single-signer.
Menurut laporan terperinci LayerZero Labs, penyerang berhasil mencuri kira-kira 116.500 rsETH dengan mengkompromikan infrastruktur hilir yang terikat pada lapisan verifikasi yang digunakan dalam konfigurasi cross-chain KelpDAO. Perusahaan menyatakan bahwa insiden tersebut terbatas pada setup rsETH KelpDAO karena aplikasi mengandalkan konfigurasi DVN 1-of-1 dengan LayerZero Labs sebagai satu-satunya verifier—desain yang bertentangan langsung dengan rekomendasi LayerZero agar aplikasi menggunakan setup multi-DVN yang terdiversifikasi dengan redundansi.
LayerZero menegaskan bahwa tidak ada “penularan ke aset cross-chain atau aplikasi lainnya” karena arsitektur keamanan modular protokol membatasi jangkauan dampak, meskipun konfigurasi tingkat aplikasi single-signer gagal.
Mekanisme Serangan dan Aktor Ancaman
Menurut laporan LayerZero, serangan pada 18 April 2026 menargetkan infrastruktur RPC yang digunakan oleh DVN LayerZero Labs, bukan protokol LayerZero, manajemen kunci, atau perangkat lunak DVN itu sendiri. Penyerang memperoleh akses ke daftar RPC yang digunakan oleh DVN, mengkompromikan dua node di cluster terpisah, mengganti binary pada node op-geth, dan menggunakan payload berbahaya untuk mengirimkan data transaksi palsu ke verifier sambil mengembalikan data yang benar ke endpoint lain, termasuk layanan pemantauan internal.
Untuk menyelesaikan eksploitasi, penyerang juga meluncurkan serangan DDoS pada endpoint RPC yang tidak dikompromikan, memicu failover menuju node yang terracuni dan memungkinkan DVN LayerZero Labs mengkonfirmasi transaksi yang tidak pernah benar-benar terjadi. Pekerjaan forensik eksternal sesuai dengan deskripsi ini.
Chainalysis mengaitkan penyerang dengan Lazarus Group Korea Utara, khususnya kelompok TraderTraitor. Mereka tidak mengeksploitasi bug smart contract, melainkan memalsukan pesan cross-chain dengan meracuni node RPC internal dan membanjiri node eksternal dalam setup verifikasi single-point-of-failure.
Respons dan Perubahan Kebijakan
Respons segera LayerZero mencakup penghentian dan penggantian semua node RPC yang terpengaruh, pemulihan DVN LayerZero Labs ke operasi normal, dan menghubungi lembaga penegak hukum sambil bekerja dengan mitra industri dan Seal911 untuk melacak dana yang dicuri.
LayerZero mengubah cara menangani konfigurasi berisiko. DVN LayerZero “tidak akan menandatangani atau membuktikan pesan dari aplikasi apa pun yang menggunakan konfigurasi 1/1”—perubahan kebijakan yang bertujuan mencegah pengulangan mode kegagalan KelpDAO. Perusahaan juga menghubungi proyek yang masih menggunakan konfigurasi 1/1 untuk bermigrasi ke model multi-DVN dengan redundansi, secara efektif mengakui bahwa fleksibilitas konfigurasi tanpa rel keselamatan yang ditegakkan terlalu permisif dalam praktik.
Pelajaran untuk Infrastruktur Cross-Chain
Nexus Mutual melaporkan bahwa pesan yang dipalsukan mengalirkan $292 juta dari bridge KelpDAO dalam waktu kurang dari 46 menit, menjadikannya salah satu kerugian DeFi terbesar pada tahun 2026.
Hasilnya adalah pelajaran penting untuk infrastruktur cross-chain: smart contract dapat tetap aman dan protokol masih dapat gagal dalam praktik jika lapisan kepercayaan off-chain cukup lemah. LayerZero kini berusaha membuktikan bahwa pembelajaran utama dari pencurian bridge $292 juta bukan bahwa keamanan modular gagal, melainkan bahwa membiarkan siapa pun menjalankan setup single-signer adalah kesalahan serius.
