LayerZero Tanggapi Insiden Kerentanan $290 Juta KelpDAO, Menyalahkan Konfigurasi DVN Tunggal

BroadChain BroadChain mendapat informasi bahwa pada 20 April pukul 20:00, menurut Bitcoinist, insiden kerentanan senilai $290 juta yang dialami rsETH di bawah KelpDAO memasuki tahap baru. LayerZero dan Aave secara terbuka menjelaskan rangkaian peristiwa, alasan kerusakan dapat dikendalikan, serta dampaknya terhadap standar keamanan lintas rantai di masa depan. Argumen inti LayerZero adalah bahwa insiden ini bukan disebabkan oleh kegagalan protokol itu sendiri, melainkan oleh keputusan KelpDAO untuk menjalankan rsETH dengan konfigurasi DVN (Decentralized Verification Network) tunggal. Pernyataan ini mengalihkan narasi pasar dari risiko penularan luas aset yang terintegrasi dengan LayerZero ke masalah yang lebih spesifik: konsentrasi risiko dalam desain keamanan aplikasi tunggal. Dalam pernyataan tanggal 20 April, LayerZero menyatakan bahwa serangan pada 18 April menargetkan pengaturan rsETH KelpDAO dan "sepenuhnya terbatas pada konfigurasi rsETH KelpDAO, yang merupakan konsekuensi langsung dari pengaturan DVN tunggal mereka." Perusahaan menambahkan bahwa mereka telah melakukan tinjauan komprehensif terhadap integrasi aktif dan "yakin dapat mengonfirmasi tidak ada risiko penularan terhadap aset atau aplikasi lain." LayerZero mengategorikan insiden ini sebagai serangan terhadap infrastruktur kripto yang terkait dengan negara, bukan kerentanan protokol. Tanda-tanda awal mengarah pada aktor negara yang sangat canggih, kemungkinan besar Lazarus Group dari Korea Utara (khususnya TraderTraitor). Serangan tidak secara langsung membahayakan protokol, manajemen kunci, atau instansi DVN, melainkan penyerang mencemari infrastruktur RPC hilir yang digunakan oleh DVN LayerZero Labs, mengganti file biner pada node op-geth yang disusupi, lalu memberikan tekanan DDoS pada RPC yang tidak terpengaruh untuk memaksa failover ke infrastruktur yang tercemar. LayerZero menekankan bahwa karena prinsip hak istimewa minimum mereka, penyerang tidak dapat menyusup ke instansi DVN yang sebenarnya, tetapi memanfaatkan titik masuk ini untuk melancarkan serangan spoofing RPC. Node jahat mereka menggunakan payload kustom yang dirancang khusus untuk memalsukan pesan ke DVN, sambil mengembalikan respons asli ke IP lain termasuk infrastruktur pemantauan mereka sendiri untuk menghindari deteksi. LayerZero mencatat bahwa jika rsETH tidak bergantung pada pengaturan validator 1-of-1, serangan ini seharusnya dapat dicegah di lapisan aplikasi. Konfigurasi OApp KelpDAO saat itu bergantung pada pengaturan DVN tunggal, dengan LayerZero Labs sebagai satu-satunya validator, yang bertentangan langsung dengan model redundansi multi-DVN yang selalu direkomendasikan LayerZero kepada semua mitra integrasi. Perusahaan menyatakan bahwa DVN mereka telah kembali online, node RPC yang terpengaruh telah dinonaktifkan dan diganti, dan mereka tidak akan lagi menandatangani atau membuktikan pesan untuk aplikasi yang menggunakan konfigurasi 1/1, sambil bekerja sama dengan penegak hukum dan mitra industri (termasuk Seal911) untuk melacak dana. Aave dalam pembaruan platform X menyatakan bahwa analisis mereka menunjukkan "rsETH di mainnet Ethereum didukung dengan baik," tetapi sebagai tindakan pencegahan, rsETH tetap dibekukan di Aave V3 dan V4, dan eksposur terhadap insiden ini telah dibatasi. Cadangan WETH di pasar yang terpengaruh di Ethereum, Arbitrum, Base, Mantle, dan Linea juga tetap dibekukan, dengan tim terus memverifikasi informasi dan mengevaluasi solusi yang mungkin. Pada saat berita ini ditulis, total kapitalisasi pasar kripto sekitar $2,5 triliun.