Kelp, mengumumkan migrasi ke Chainlink… kembali menyerang LayerZero, menuduh “mengetahui celah keamanan tetapi tetap diam”

Aliran Staking Protocol Kelp Mengumumkan Pindah ke Chainlink Cross-Chain Interoperability Protocol (CCIP) Setelah Mengalami Serangan Phishing Senilai Sekitar 300 Juta Dolar AS. Sementara itu, sengketa terkait tanggung jawab serangan antara LayerZero kembali memanas.

Peristiwa

Pada 18 April tahun ini, kelompok hacker yang diduga terkait Korea Utara, Lazarus Group, memanfaatkan celah di Kelp untuk secara ilegal mencetak 116.500 token rsETH staking Ethereum. Setelah itu, penyerang memindahkan aset yang dicuri ke protokol likuiditas terdesentralisasi Aave, meminjamkan 106.497 ETH, yang jika dihitung berdasarkan harga pasar saat itu, menyebabkan kerugian mencapai antara 292 juta hingga 294 juta dolar AS. Setelah menemukan serangan, Kelp segera menangguhkan semua kontrak dan berhasil menghentikan dua transaksi mencurigakan berikutnya dengan total nilai sekitar 100 juta dolar AS.

Sengketa Tanggung Jawab

Awalnya, Kelp menyebut kejadian ini sebagai “serangan terhadap infrastruktur LayerZero”, tetapi pihak LayerZero membantah, menyatakan bahwa Kelp tidak menggunakan konfigurasi berbasis multi-DVN (Decentralized Validator Network) yang mereka rekomendasikan, melainkan mempertahankan pengaturan validator tunggal “1-1” yang memiliki celah keamanan, sehingga tanggung jawab ada pada Kelp. Mantan CTO Ripple, David Schwartz, juga ikut berkomentar, menyatakan bahwa protokol keamanan LayerZero sendiri sudah cukup baik, dan Kelp tidak mengadopsinya karena alasan kenyamanan.

Kelp menanggapi lagi pada Selasa malam, menyatakan bahwa saat ini 47% dari OApp (aplikasi lintas rantai) masih menggunakan konfigurasi “1-1” yang sama, dan 90% pesan yang diproses infrastruktur tersebut hanya bergantung pada satu atau dua DVN. Kelp menegaskan bahwa LayerZero sendiri secara default menggunakan struktur “1-1” untuk meluncurkan dan merekomendasikan DVN, dan Kelp hanya mengikuti pedoman tersebut.

Selain itu, Kelp menuduh LayerZero diam terhadap infiltrasi DVN, kurangnya pemantauan jaringan, dan celah keamanan setelah serangan terjadi, serta menyatakan bahwa LayerZero baru berhenti mengakui konfigurasi “1-1” setelah serangan.

Pindah ke Chainlink

Untuk mencegah serangan serupa terjadi lagi, Kelp memutuskan memindahkan infrastruktur keamanan lintas rantai mereka ke Chainlink CCIP. Selain itu, standar token rsETH juga akan beralih dari OFT (Token Homogenisasi Lintas Rantai) milik LayerZero ke standar CCT (Token Lintas Rantai) dari Chainlink. Kelp menyatakan bahwa jaringan oracle terdesentralisasi Chainlink dapat menyediakan tingkat keamanan yang lebih tinggi untuk komunikasi lintas rantai dibandingkan LayerZero, dan tim inti saat ini sedang menyelesaikan detail operasional migrasi tersebut.

Data menunjukkan bahwa meskipun mengalami serangan dan banyak dana keluar, total nilai terkunci (TVL) Kelp saat ini tetap sekitar 1,63 miliar dolar AS, menunjukkan bahwa komunitas masih memiliki kepercayaan yang signifikan terhadapnya.