LayerZero menanggapi kejadian 2,92 miliar Kelp DAO: Kelp menetapkan konfigurasi DVN 1-of-1 pilihannya sendiri, peretasnya adalah Lazarus Korea Utara

Protokol pesan lintas-chain LayerZero pada waktu Taiwan 20 April siang hari mengeluarkan pernyataan resmi melalui posting panjang di X resmi, menanggapi insiden peretasan Kelp DAO senilai 292 juta dolar AS yang terjadi dua hari sebelumnya. Menurut laporan CoinDesk, LayerZero secara tegas menyalahkan penyebab kejadian pada Kelp DAO “secara mandiri memilih menggunakan konfigurasi single verifier 1-of-1 DVN”, dan untuk pertama kalinya mengaitkan serangan kepada unit TraderTraitor yang berada di bawah grup Lazarus Korea Utara—kelompok peretas yang sama sebelumnya juga dianggap sebagai pelaksana insiden Drift Protocol senilai 285 juta dolar AS pada 1 April.

1-of-1 DVN itu apa

LayerZero v2 menggunakan arsitektur DVN (Decentralized Verifier Network). Saat proyek dideploy, tim dapat memilih sendiri menggunakan “berapa banyak node verifier independen” untuk membentuk konsensus, mulai dari 1-of-1 (satu node) hingga M-of-N (memerlukan persetujuan mayoritas). Jumlah DVN menentukan batas toleransi kesalahan: 1-of-1 berarti selama node tersebut diretas, pesan lintas-chain bisa dipalsukan; M-of-N berarti diperlukan lebih dari setengah jumlah node agar bisa memalsukan.

Dalam pernyataannya, LayerZero menyatakan: “KelpDAO memilih menggunakan konfigurasi 1-of-1 DVN. Arsitektur multi-verifier yang ditetapkan dengan baik akan menuntut konsensus di antara beberapa DVN independen; bahkan jika salah satu verifier diretas, serangan tetap tidak akan efektif.” Daftar pemeriksaan integrasi resmi serta komunikasi langsung dengan Kelp semuanya pernah menyarankan penggunaan desain multi-verifier yang redundan.

Metode serangan: biner pada node RPC diganti, penipuan selektif

LayerZero mengungkap detail teknis serangan tersebut. Penyerang membobol dua node RPC (Remote Procedure Call) yang digunakan LayerZero verifier untuk membaca dan menulis data di chain—verifier LayerZero menggunakan RPC internal dan eksternal secara gabungan untuk menambah redundansi. Peretas mengganti perangkat lunak biner native yang dijalankan pada kedua node itu dengan versi berbahaya yang telah dimodifikasi.

Desain biner berbahaya tersebut sangat licik: hanya membohongi verifier LayerZero dengan satu pesan “transaksi lintas-chain palsu telah terjadi”, tetapi untuk semua query lain yang menggunakan node yang sama pada sistem mana pun (termasuk sistem monitoring milik LayerZero saat memakai IP berbeda) terus melaporkan data yang benar. “Berbohong secara selektif” ini membuat serangan pada lapisan pemantauan LayerZero nyaris sepenuhnya tidak terlihat.

Lazarus menarik 575 juta dolar AS dari DeFi dalam 18 hari

LayerZero mengaitkan serangan tersebut kepada unit TraderTraitor di bawah TraderTraitor Grup Lazarus Korea Utara, dan menandainya sebagai “atribusi awal dengan tingkat kepercayaan tinggi”. Unit yang sama sebelumnya dianggap sebagai pelaksana insiden Drift Protocol senilai 285 juta dolar AS pada 1 April—dua kejadian itu berjarak 18 hari, dengan total menarik lebih dari 575 juta dolar AS dari pasar DeFi.

Struktur jalur untuk dua serangan tersebut sepenuhnya berbeda: Drift dilakukan lewat serangan rekayasa sosial terhadap pemberi tanda tangan tata kelola (identitas palsu Korea Utara mendorong pemegang multi-sig untuk menandatangani transaksi berbahaya); Kelp dilakukan dengan menipu protokol verifikasi melalui menginfeksi lapisan infrastruktur (node RPC). Ini berarti kemampuan serangan Lazarus terhadap DeFi sudah melampaui batas tradisional “celah kontrak pintar”, dan sedang memperluas diri ke dua arah paralel: “menyerang manusia” dan “menyerang infrastruktur”.

Tiga kebijakan yang dinyatakan LayerZero

Dalam pernyataannya, LayerZero mengemukakan tiga sikap yang jelas. Pertama, kejadian tersebut berasal dari pilihan konfigurasi Kelp, bukan dari kerentanan tingkat protokol; kedua, setelah pemeriksaan menyeluruh, telah dikonfirmasi bahwa semua aplikasi lain di protokol tidak memiliki risiko keterkaitan (aplikasi yang menggunakan standar OFT + aplikasi multi-verifier semuanya tidak terpengaruh); ketiga, mulai hari ini LayerZero tidak akan lagi menandatangani pesan untuk aplikasi apa pun yang menggunakan konfigurasi 1-of-1 verifier, memaksa semua integrator untuk melakukan upgrade ke arsitektur multi-verifier.

Ini adalah pertama kalinya LayerZero menetapkan “ambang batas keamanan minimum” pada tingkat protokol—sebelumnya multi-verifier hanya “disarankan”, sekarang menjadi persyaratan yang wajib. Langkah ini sekaligus merupakan pemisahan tanggung jawab atas kejadian Kelp, sekaligus sinyal peningkatan keamanan kolektif untuk seluruh ekosistem DeFi. Untuk sebagian proyek yang masih belum beralih ke konfigurasi multi-verifier, kemungkinan menghadapi risiko delisting dalam minggu ini.

Masih ada perdebatan soal atribusi tanggung jawab

LayerZero secara tegas mengalihkan tanggung jawab ke pilihan konfigurasi Kelp, tetapi pendapat komunitas eksternal tidak sepenuhnya seragam. Sebagian pengamat DeFi menyoroti: karena protokol memang mendukung secara default konfigurasi yang sangat rapuh seperti 1-of-1, dan juga tidak menyediakan ambang batas minimum DVN yang bersifat wajib, maka tidak bisa menimpakan seluruh tanggung jawab kepada pengguna. Ada juga pola serupa yang terlihat pada insiden RAVE awal pekan ini—batas tanggung jawab antara penyedia infrastruktur (bursa/protokol) dan lapisan aplikasi (proyek penerbitan token/orang yang membuat) telah menjadi isu struktural dalam ekosistem DeFi tahun 2026.

Untuk risiko likuidasi pengguna Kelp DAO yang terdampak serta protokol pinjaman seperti Aave, SparkLend, Fluid, LayerZero tidak memberikan rencana kompensasi; Kelp DAO resmi juga belum mengumumkan detail ganti rugi. Fokus pengamatan minggu depan akan menjadi: jadwal efektif kebijakan LayerZero yang mewajibkan multi-verifier, jumlah proyek yang masih menggunakan 1-of-1, serta apakah Kelp bisa mengompensasi sebagian kerugian pengguna dari cadangan internal atau dengan bantuan LayerZero.

Artikel ini adalah respons LayerZero terhadap insiden Kelp DAO 2.92 miliar dolar: mengacu pada Kelp yang memilih konfigurasi 1-of-1 DVN, peretas pertama kali muncul di 鏈新聞 ABMedia oleh Lazarus Korea Utara.