LayerZero rilis laporan survei: Analisis penyebab langsung dan proses peretasan KelpDAO

Sumber: LayerZero; Diterjemahkan: Keuangan Emas Claw

Pernyataan tentang Insiden Serangan KelpDAO

18 April 2026, KelpDAO diserang, kehilangan sekitar 290 juta dolar AS. Tanda-tanda awal menunjukkan bahwa serangan ini berasal dari organisasi peretas tingkat negara yang sangat kompleks, kemungkinan besar dari Lazarus Group Korea Utara (khususnya cabang TraderTraitor). Insiden ini terbatas hanya pada konfigurasi rsETH KelpDAO, akar penyebab langsungnya adalah penggunaan pengaturan DVN (Jaringan Verifikasi Terdesentralisasi) tunggal. Aset lintas rantai atau aplikasi lain tidak mengalami risiko penularan apapun.

Serangan yang sangat kompleks ini menargetkan infrastruktur RPC (Remote Procedure Call) hilir yang digunakan oleh LayerZero Labs DVN. Saat ini, semua node RPC yang terdampak telah dihentikan dan diganti, dan LayerZero Labs DVN telah online kembali.

Kami membagikan detail ini untuk membantu komunitas memahami dan mencegah vektor serangan baru yang didukung negara ini.

Latar belakang: Arsitektur keamanan modular LayerZero

Protokol LayerZero dibangun di atas fondasi keamanan yang modular dan dapat dikonfigurasi aplikasi. Jaringan Verifikasi Terdesentralisasi (DVNs) adalah entitas independen yang bertanggung jawab untuk memverifikasi integritas pesan lintas rantai. Yang sangat penting adalah, protokol tidak memaksa konfigurasi keamanan tunggal. Sebaliknya, ia memberi otoritas kepada setiap aplikasi dan penerbit aset untuk mendefinisikan kondisi keamanan mereka sendiri, termasuk DVN mana yang mereka andalkan, bagaimana menggabungkannya, dan pengaturan ambang redundansi apa yang digunakan.

Praktik terbaik industri—yang juga secara tegas direkomendasikan LayerZero kepada semua integrator—adalah mengonfigurasi pengaturan DVN yang beragam dan redundan. Ini berarti bahwa tidak ada satu DVN pun yang harus menjadi titik kepercayaan atau titik kegagalan tunggal.

Lingkup dan Penyebaran: Hanya rsETH

Kami telah melakukan tinjauan menyeluruh terhadap aktivitas integrasi di protokol LayerZero. Kami dapat memastikan bahwa tidak ada risiko penularan ke aset atau aplikasi lain. Insiden ini sepenuhnya terisolasi pada konfigurasi DVN tunggal KelpDAO yang terkait dengan rsETH.

Aplikasi yang terdampak adalah rsETH yang diterbitkan oleh KelpDAO. Pada saat kejadian, konfigurasi OApp mereka bergantung pada pengaturan DVN “1 dari 1”, hanya mengandalkan LayerZero Labs sebagai satu-satunya verifikator—pengaturan ini secara langsung melanggar model redundansi DVN beragam yang selalu direkomendasikan LayerZero kepada semua mitra. Pengaturan single point of failure berarti tidak ada verifikator independen yang dapat menangkap dan menolak pesan palsu. Sebelumnya, LayerZero dan lembaga eksternal lainnya telah menyampaikan praktik terbaik diversifikasi DVN kepada KelpDAO, meskipun ada saran tersebut, KelpDAO tetap memilih konfigurasi DVN 1/1.

Jika konfigurasi penguatan yang tepat diterapkan, serangan harus mencapai konsensus di beberapa DVN independen, sehingga bahkan jika satu DVN diserang, serangan akan gagal.

Proses kejadian

18 April 2026, DVN LayerZero Labs menjadi target serangan yang sangat kompleks. Penyerang memanipulasi atau “meracun” infrastruktur RPC hilir, menembus jumlah quorum RPC yang diperlukan untuk memverifikasi transaksi DVN. Ini bukan melalui celah protokol, DVN itu sendiri, atau kerentanan pengelolaan kunci.

Sebaliknya, penyerang memperoleh daftar RPC yang digunakan oleh DVN kami, menembus dua node independen di antaranya, dan mengganti file biner node op-geth yang berjalan. Karena prinsip “hak minimum” kami, mereka tidak dapat menembus instance DVN yang sebenarnya. Namun, mereka menggunakan ini sebagai batu loncatan untuk melakukan serangan penipuan RPC:

• Node jahat menggunakan payload kustom untuk memalsukan pesan ke DVN.

• Node tersebut berbohong kepada DVN, tetapi melaporkan informasi nyata ke alamat IP lain (termasuk layanan pemindaian dan infrastruktur pemantauan internal kami). Desain ini sengaja dibuat agar tidak terdeteksi oleh sistem keamanan.

• Setelah serangan selesai, node jahat akan menghancurkan dirinya sendiri, menonaktifkan RPC, dan menghapus file biner jahat serta log terkait.

Selain itu, penyerang juga melakukan serangan DDoS terhadap RPC yang tidak diserang, memicu sistem beralih (failover) ke node RPC yang telah diracun. Akibatnya, instance DVN yang dikelola LayerZero Labs mengonfirmasi bahwa transaksi yang sebenarnya tidak pernah terjadi.

Situasi keamanan LayerZero Labs

Kami menjalankan endpoint detection and response (EDR) lengkap, kontrol akses ketat, lingkungan yang sepenuhnya terisolasi, dan log sistem lengkap. DVN kami berjalan di node RPC internal dan eksternal. Saat ini, kami sedang dalam tahap akhir audit SOC2.

Jalan ke depan

1. Pemulihan DVN: LayerZero Labs DVN telah pulih. Aplikasi yang mengonfigurasi DVN beragam dan redundan dapat melanjutkan operasi dengan aman.

2. Migrasi paksa: Kami sedang menghubungi semua aplikasi yang menggunakan konfigurasi DVN 1/1 untuk migrasi ke pengaturan redundansi DVN beragam. LayerZero Labs DVN tidak akan lagi menandatangani atau memverifikasi pesan untuk aplikasi yang menggunakan konfigurasi 1/1.

3. Kerja sama penegakan hukum: Kami bekerja sama dengan berbagai lembaga penegak hukum global dan mendukung mitra industri serta Seal911 dalam pelacakan dana.

Ringkasan

Kami ingin menegaskan: Protokol LayerZero sendiri beroperasi sepenuhnya sesuai harapan selama insiden ini. Tidak ditemukan celah protokol. Jika ini adalah sistem tunggal atau sistem keamanan bersama, risiko penularan bisa meluas ke semua aplikasi. Ciri khas arsitektur LayerZero yang bersifat modular dan terdefinisi secara tegas berperan di sini—mengisolasi serangan sepenuhnya pada satu aplikasi, tanpa risiko penularan dalam sistem.

Kami akan terus berkomitmen terhadap keamanan dan integritas ekosistem LayerZero.