LayerZero Labs telah merilis laporan insiden terkait serangan jembatan KelpDAO, yang menyebut sekitar 292 juta dolar AS dalam rsETH dicuri setelah penyerang meracuni infrastruktur RPC yang digunakan oleh jaringan verifikasinya dan memaksa perubahan kebijakan terkait konfigurasi single-signer.
Ringkasan
- LayerZero mengatakan KelpDAO dieksploitasi untuk sekitar 290 juta dolar AS, atau kira-kira 116.500 rsETH, dalam serangan yang terisolasi pada setup single-DVN rsETH.
- Perusahaan menyebut indikator awal mengarah ke TraderTraitor yang terkait Korea Utara dan menggambarkan eksploitasi tersebut sebagai kompromi infrastruktur, bukan kelemahan protokol.
- LayerZero mengatakan mereka akan menghentikan penandatanganan pesan untuk aplikasi yang memakai konfigurasi 1/1 DVN dan mendorong integrator yang terdampak menuju redundansi multi-DVN.
LayerZero Labs telah mempublikasikan laporan rinci tentang eksploit KelpDAO, mengonfirmasi bahwa penyerang mencuri sekitar 116.500 rsETH, senilai sekitar 292 juta dolar AS, dengan mengkompromikan infrastruktur lanjutan yang terhubung dengan lapisan verifikasi yang digunakan dalam konfigurasi lintas-chain KelpDAO.
Perusahaan mengatakan insiden tersebut terbatas pada setup rsETH KelpDAO karena aplikasi bergantung pada konfigurasi 1-of-1 DVN dengan LayerZero Labs sebagai satu-satunya verifier, sebuah desain yang menurut LayerZero secara langsung bertentangan dengan rekomendasi mereka yang sudah mapan agar aplikasi memakai setup multi-DVN yang beragam dengan redundansi.
Dalam pernyataannya, LayerZero mengatakan ada "nol penularan ke aset lintas-chain atau aplikasi lain apa pun," dengan berargumen bahwa arsitektur keamanan modular protokol membatasi dampak bahkan saat satu konfigurasi di tingkat aplikasi gagal.
Bagaimana serangan itu bekerja {#how-the-attack-worked}
Menurut laporan LayerZero, serangan 18 April 2026 menargetkan infrastruktur RPC yang menjadi tumpuan LayerZero Labs DVN, bukan mengeksploitasi protokol LayerZero, manajemen kunci, atau perangkat lunak DVN itu sendiri.
Perusahaan mengatakan penyerang memperoleh akses ke daftar RPC yang digunakan oleh DVN, mengkompromikan dua node yang berjalan pada cluster terpisah, mengganti binary pada node op-geth, lalu menggunakan payload berbahaya untuk memasukkan data transaksi palsu ke verifier sambil mengembalikan data yang benar ke endpoint lain, termasuk layanan pemantauan internal.
Untuk menyelesaikan eksploit, penyerang juga melancarkan serangan DDoS pada endpoint RPC yang tidak dikompromikan, yang memicu failover menuju node yang diracuni dan memungkinkan LayerZero Labs DVN mengonfirmasi transaksi yang sebenarnya tidak pernah terjadi.
Pekerjaan forensik eksternal secara luas selaras dengan deskripsi tersebut. Chainalysis mengatakan penyerang yang terkait dengan Lazarus Group milik Korea Utara, khususnya TraderTraitor, tidak mengeksploitasi bug kontrak pintar, melainkan memalsukan pesan lintas-chain dengan meracuni node RPC internal dan membanjiri node eksternal dalam setup verifikasi yang menjadi single-point-of-failure.
Perubahan keamanan {#security-changes}
LayerZero mengatakan respons segera mencakup pensiunan dan penggantian semua node RPC yang terdampak, memulihkan operasional LayerZero Labs DVN, serta menghubungi lembaga penegak hukum sambil bekerja sama dengan mitra industri dan Seal911 untuk melacak dana curian.
Yang lebih penting, perusahaan mengubah cara mereka menangani konfigurasi yang berisiko. Dalam pernyataannya, LayerZero menyatakan DVN "tidak akan menandatangani atau menguatkan pesan dari aplikasi apa pun yang menggunakan konfigurasi 1/1," sebuah pergeseran kebijakan langsung yang ditujukan untuk mencegah pengulangan mode kegagalan KelpDAO.
Perusahaan juga menjangkau proyek-proyek yang masih memakai konfigurasi 1/1 untuk memigrasikannya ke model multi-DVN dengan redundansi, sekaligus mengakui bahwa fleksibilitas konfigurasi tanpa pagar keselamatan yang dipaksakan terlalu permisif dalam praktiknya.
Gambaran atribusi juga semakin menguat. Chainalysis mengaitkan eksploit tersebut ke Lazarus Group milik Korea Utara dan secara spesifik TraderTraitor, sementara Nexus Mutual menyatakan pesan palsu menguras 292 juta dolar AS dari jembatan KelpDAO dalam waktu kurang dari 46 menit, menjadikannya salah satu kerugian DeFi terbesar tahun 2026.
Hasilnya adalah pelajaran yang familiar namun brutal untuk infrastruktur lintas-chain: kontrak pintar bisa tetap utuh dan protokol tetap bisa gagal dalam praktik jika lapisan kepercayaan off-chain cukup lemah. LayerZero kini berusaha membuktikan bahwa pelajaran yang tepat dari pencurian jembatan senilai 292 juta dolar AS bukanlah keamanan modular gagal, melainkan membiarkan siapa pun menjalankan setup single-signer adalah kesalahan sebenarnya.
