LayerZero merinci eksploit KelpDAO senilai $292M dan memperketat keamanan bridge
LayerZero Labs telah merilis laporan insiden serangan jembatan KelpDAO, menyebutkan bahwa sekitar $292 juta dalam rsETH dicuri setelah penyerang meracuni infrastruktur RPC yang digunakan oleh jaringan verifikasinya dan memaksa perubahan kebijakan seputar konfigurasi penanda tangan tunggal.
- LayerZero menyatakan KelpDAO dieksploitasi senilai sekitar $290 juta, atau sekitar 116.500 rsETH, dalam serangan yang terisolasi pada pengaturan DVN tunggal rsETH.
- Perusahaan menyebutkan indikasi awal mengarah ke TraderTraitor yang terkait Korea Utara, dan menggambarkan eksploit tersebut sebagai kompromi infrastruktur, bukan cacat protokol.
- LayerZero menyatakan akan berhenti menandatangani pesan untuk aplikasi yang menggunakan konfigurasi DVN 1/1 dan mendorong integrator yang terpengaruh menuju redundansi multi-DVN.
LayerZero Labs telah menerbitkan laporan rinci mengenai eksploit KelpDAO, mengonfirmasi bahwa penyerang mencuri sekitar 116.500 rsETH senilai sekitar $292 juta dengan mengkompromikan infrastruktur hilir yang terkait dengan lapisan verifikasi yang digunakan dalam konfigurasi lintas-rantai KelpDAO.
Perusahaan menyatakan insiden tersebut terbatas pada pengaturan rsETH KelpDAO karena aplikasi tersebut mengandalkan konfigurasi DVN 1-of-1 dengan LayerZero Labs sebagai satu-satunya verifikator, sebuah desain yang menurut LayerZero secara langsung bertentangan dengan rekomendasinya yang sudah ada agar aplikasi menggunakan pengaturan multi-DVN yang terdiversifikasi dengan redundansi.
Dalam pernyataannya, LayerZero menyebutkan "tidak ada kontaminasi ke aset atau aplikasi lintas-rantai lainnya," dengan berargumen bahwa arsitektur keamanan modular protokol mampu membatasi dampak meskipun satu konfigurasi tingkat aplikasi gagal.
Cara kerja serangan
Menurut laporan LayerZero, serangan pada 18 April 2026 menargetkan infrastruktur RPC yang diandalkan oleh DVN LayerZero Labs, bukan mengeksploitasi protokol LayerZero, manajemen kunci, atau perangkat lunak DVN itu sendiri.
Perusahaan menyatakan penyerang mendapatkan akses ke daftar RPC yang digunakan oleh DVN, mengkompromikan dua node yang berjalan di kluster terpisah, mengganti biner pada node op-geth, lalu menggunakan payload berbahaya untuk mengumpankan data transaksi palsu ke verifikator sambil mengembalikan data yang benar ke endpoint lain, termasuk layanan pemantauan internal.
Untuk menyelesaikan eksploit tersebut, penyerang juga melancarkan serangan DDoS pada endpoint RPC yang tidak terkompromikan, yang memicu failover ke node yang telah diracuni dan memungkinkan DVN LayerZero Labs mengonfirmasi transaksi yang sebenarnya tidak pernah terjadi.
Temuan forensik eksternal secara garis besar sesuai dengan deskripsi tersebut. Chainalysis menyatakan penyerang yang terkait dengan Lazarus Group Korea Utara, khususnya TraderTraitor, tidak mengeksploitasi bug smart contract, melainkan memalsukan pesan lintas-rantai dengan meracuni node RPC internal dan membanjiri node eksternal dalam pengaturan verifikasi dengan titik kegagalan tunggal.
Perubahan keamanan
LayerZero menyatakan respons segera mencakup penghentian dan penggantian semua node RPC yang terpengaruh, memulihkan operasi DVN LayerZero Labs, serta menghubungi lembaga penegak hukum sambil bekerja sama dengan mitra industri dan Seal911 untuk melacak dana yang dicuri.
Yang lebih penting, perusahaan mengubah cara menangani konfigurasi berisiko. Dalam pernyataannya, LayerZero menyebutkan DVN-nya "tidak akan menandatangani atau membuktikan pesan dari aplikasi mana pun yang menggunakan konfigurasi 1/1," sebuah perubahan kebijakan langsung yang bertujuan mencegah terulangnya kegagalan KelpDAO.
Perusahaan juga menjangkau proyek-proyek yang masih menggunakan konfigurasi 1/1 untuk memigrasikannya ke model multi-DVN dengan redundansi, secara efektif mengakui bahwa fleksibilitas konfigurasi tanpa batasan keamanan yang ditegakkan terlalu permisif dalam praktiknya.
Gambaran atribusi pun semakin jelas. Chainalysis mengaitkan eksploit tersebut dengan Lazarus Group Korea Utara, khususnya TraderTraitor, sementara Nexus Mutual menyatakan pesan palsu tersebut menguras $292 juta dari jembatan KelpDAO dalam waktu kurang dari 46 menit, menjadikannya salah satu kerugian DeFi terbesar tahun 2026.
Hasilnya adalah pelajaran yang sudah dikenal namun brutal bagi infrastruktur lintas-rantai: smart contract bisa tetap utuh dan protokol masih bisa gagal dalam praktiknya jika lapisan kepercayaan off-chain cukup lemah. LayerZero kini berusaha membuktikan bahwa pelajaran yang tepat dari pencurian jembatan senilai $292 juta bukan berarti keamanan modular gagal, melainkan bahwa membiarkan siapa pun menjalankan pengaturan penanda tangan tunggal adalah kesalahan sesungguhnya.
Anda Mungkin Juga Menyukai
97% Orang Amerika Ingin AI Diatur, Bernie Sanders Bilang Kongres Mengabaikan Mereka
Singapura Mencabut Lisensi Perusahaan Kripto dalam Tindakan Regulasi yang Langka
Donald Trump Beri The Fed 120 Hari untuk Buka Akses Pembayaran ke Perusahaan Kripto
