KelpDAO Mengecam Layerzero Pasca Serangan Senilai $300 Juta, Memindahkan rsETH ke Chainlink CCIP

Perselisihan Mengenai Konfigurasi Jaringan

KelpDAO telah mengeluarkan tanggapan keras terhadap Layerzero Labs menyusul serangan pada 18 April yang menguras lebih dari $300 juta aset DeFi, terutama dalam bentuk rsETH. Dalam pernyataan publik yang bertentangan dengan laporan post-mortem resmi Layerzero, KelpDAO menuduh penyedia jembatan tersebut "menyalahkan pengguna" atas kegagalan sistemik dalam infrastruktur intinya sendiri.

Serangan tersebut, yang dikaitkan dengan tingkat keyakinan tinggi dengan Lazarus Group, mengakibatkan pencetakan dan pelepasan aset secara curang. Meskipun KelpDAO berhasil memblokir transaksi palsu senilai $100 juta dengan menangguhkan kontrak, dampaknya telah memicu pergeseran besar dalam lanskap DeFi. KelpDAO kemudian mengumumkan migrasi segera ke Chainlink CCIP.

Perselisihan utama terletak pada penyebab pelanggaran tersebut. Analisis pasca-insiden Layerzero menggambarkan insiden tersebut sebagai "masalah konfigurasi KelpDAO," yang secara khusus menargetkan penggunaan Kelp terhadap pengaturan jaringan verifikator terdesentralisasi (DVN) 1-dari-1 di mana Layerzero Labs adalah satu-satunya validator. Namun, KelpDAO membalas dengan mengutip analisis Dune yang menunjukkan bahwa 47% kontrak OApp Layerzero—lebih dari 1.200 aplikasi—menggunakan "tingkat keamanan" DVN 1-1 yang sama.

Kelp menyoroti bahwa panduan quickstart OFT dan templat default Layerzero sendiri merekomendasikan konfigurasi 1-1 dengan Layerzero Labs sebagai satu-satunya DVN yang diwajibkan. Proyek tersebut juga membagikan tangkapan layar percakapan Telegram yang konon menunjukkan anggota tim Layerzero meyakinkan Kelp bahwa "pengaturan default sudah baik-baik saja" selama delapan diskusi integrasi terpisah selama dua tahun.

Dalam posting di X untuk meluruskan fakta, Kelp menguraikan apa yang diakui Layerzero dan apa yang sengaja diabaikan dalam laporan pasca-insidennya. Menurut posting tersebut, Layerzero mengakui bahwa penyerang memperoleh akses ke daftar RPC yang digunakan DVN-nya dan mengonfirmasi bahwa dua node independen telah diretas serta file biner diganti. Selain itu, Kelp menyebut larangan Layerzero terhadap konfigurasi 1-1 setelah kerugian $300 juta sebagai bentuk pengakuan lainnya.

Namun, menurut Kelp, laporan pasca-insiden tersebut mengabaikan fakta bahwa dokumentasi Layerzero sendiri mendorong pengembang untuk menggunakan konfigurasi 1-1 yang rentan. Laporan tersebut juga gagal menjelaskan mengapa sistem pemantauan Layerzero gagal mendeteksi serangan tersebut, sehingga Kelp lah yang harus mengidentifikasi masalah tersebut.

"Kebenaran sederhananya: LayerZero menyalahkan penggunanya atas masalah yang disebabkan oleh kegagalan infrastruktur mereka sendiri," tegas KelpDAO dalam posting tersebut.

Untuk mendukung kesimpulannya, Kelp mengutip tinjauan independen yang mengungkap beberapa kerentanan kritis yang diduga ada pada saat serangan terjadi. Temuan tersebut mencakup bahwa deployment default mengekspos gateway publik yang tidak dilengkapi dengan langkah-langkah keamanan umum seperti WAF atau daftar putih IP. Sebuah tinjauan oleh Chainalysis menunjukkan bahwa Layerzero menetapkan kuorum RPC 1-1 default yang rendah, artinya jika satu node disusupi, DVN menandatangani pesan palsu tanpa memeriksa ulang node lain.

Untuk menunjukkan hilangnya kepercayaan terhadap Layerzero, KelpDAO menyatakan bahwa mereka sedang mengalihkan rsETH dari standar OFT Layerzero ke standar Cross-Chain Token (CCT) Chainlink.

"Prioritas utama kami tetaplah keamanan aset pengguna," kata KelpDAO, mengutip rekam jejak Chainlink selama tujuh tahun dan jaringan oracle terdesentralisasi yang aman miliknya.