Surat terbuka LayerZero Labs berusaha menjelaskan kegagalan seputar peretasan KelpDAO

LayerZero Labs merilis surat terbuka yang menjelaskan kegagalannya dalam komunikasi dan operasi setelah peretasan KelpDAO oleh Kelompok Lazarus. Serangan siber tersebut tidak mempengaruhi protokol LayerZero Labs tetapi mempengaruhi sistem internalnya, yang menyebabkan perusahaan mengakui kesalahan dalam operasi sebelumnya

LayerZero Labs merilis surat permintaan maafnya pada 8 Mei 2026

LayerZero mengakui penyalahgunaan multisig di masa lalu

Sekitar 19 April 2026, Kelompok Lazarus menyerang node RPC internal LayerZero Labs, yang digunakan oleh jaringan DVN mereka. Penyerang merusak sumber kebenaran untuk RPC internal ini dan secara bersamaan meluncurkan serangan DDoS terhadap penyedia RPC eksternal LayerZero Labs. LayerZero menjelaskan bahwa protokol LayerZero tidak terpengaruh selama insiden ini.

Seperti dilaporkan oleh Cryptopolitan, peretasan tersebut hanya mempengaruhi satu aplikasi, yang merupakan 0,14% dari semua aplikasi LayerZero dan 0,36% dari total nilai aset yang dijembatani di platform. Pelanggaran tersebut menyebabkan eksploit rsETH senilai 300 juta dolar yang menargetkan KelpDAO

Dalam permintaan maafnya, LayerZero Labs juga mengomentari masalah keamanan lain yang terjadi tiga setengah tahun yang lalu. Dalam satu kejadian, seorang penandatangan menggunakan dompet perangkat keras yang dimaksudkan untuk transaksi multisig untuk transaksi individu dalam perdagangan meme koin McPepes di Uniswap menggunakan dompet pribadi mereka

Seorang penandatangan diganti, dompet diganti, dan langkah-langkah diambil untuk mencegah kejadian serupa di masa depan.

Ini bertentangan langsung dengan pernyataan publik sebelumnya oleh salah satu pendiri LayerZero, Bryan Pellegrino, yang menyebut kegiatan tersebut sebagai “pengujian OFT” standar kurang dari 24 jam sebelumnya. Beberapa pengguna menunjukkan ketidaksesuaian tersebut, mencatat bahwa meme koin yang terlibat telah diamati dalam banyak transaksi dari dompet multisig yang sama selama cukup lama

Seperti dilaporkan oleh Cryptopolitan, LayerZero menjelaskan bahwa mekanisme multisig mereka hanya memungkinkan kontrol atas fungsi Endpoint, termasuk penambahan chain dan pembaruan default pengujian.

LayerZero mendorong pengembang untuk melakukan pekerjaan keamanan yang lebih baik

LayerZero menegaskan kembali arsitektur dasarnya, yang dirancang untuk menghilangkan titik kegagalan tunggal yang umum dalam jembatan tradisional. Setiap aplikasi dapat secara independen memiliki keamanan ujung ke ujung tanpa bergantung pada LayerZero Labs

Perusahaan menyarankan pengembang untuk mengambil langkah konkret: mengunci semua konfigurasi untuk menghindari pengaturan default yang dikendalikan oleh LayerZero Labs; meningkatkan konfirmasi blok di setiap chain untuk meminimalkan risiko reorganisasi; mengonfigurasi DVN dengan setidaknya dua (lebih disukai tiga hingga lima) pihak independen; dan mempertimbangkan menjalankan DVN yang mereka perlukan sendiri.

Perusahaan juga telah mencantumkan beberapa asumsi tentang kepercayaan dan keberlangsungan. Aplikasi default LayerZero Labs dan DVN yang bergantung pada satu verifier bergantung pada semua kepercayaan dari multisig LayerZero Labs. Layanan relay gas, seperti Essence dan eksekutor LayerZero, hanya mempengaruhi keberlangsungan.

Setelah kejadian tersebut, LayerZero Labs tidak lagi mendukung DVN dalam konfigurasi 1/1; sebagai gantinya, default jalur telah ditingkatkan menjadi konfigurasi 5/5 atau 3/3, jika memungkinkan, dan pengembangan klien DVN dalam Rust sedang berlangsung.

Implikasi DeFi dari pelanggaran LayerZero

Tanggapan terhadap serangan tersebut disambut kritik langsung karena upaya awalnya untuk mengalihkan tanggung jawab kepada mitra mereka. KelpDAO dan Solv Protocol telah beralih sistem mereka ke Chainlink, dan Beefy, Ethena, BitGo, Lombard, dan banyak lainnya sedang mempertimbangkan kembali integrasi mereka

Ada kekhawatiran tentang volume transaksi jembatan yang berkurang, pendapatan Stargate, dan pembelian kembali token $ZRO

LayerZero tidak bisa diselamatkan lagi?

Setelah eksploit rsETH $300M , @LayerZero_Core menyalahkan mitra mereka alih-alih bertanggung jawab, dan mereka merasakan konsekuensinya segera.@KelpDAO & @SolvProtocol sudah meninggalkan, keduanya bermigrasi ke @Chainlink.

Tidak hanya itu, proyek-proyek di bawah ini… pic.twitter.com/hkKHCHXGou

— Winter Soldier ❄️🙋🏻‍♂️ (@WinterSoldierxz) 9 Mei 2026

LayerZero Labs menjanjikan 5.000 ETH untuk rencana penyelamatan DeFi United dan 5.000 ETH lagi untuk mempertahankan likuiditas pool Aave sebagai tanggapan terhadap serangan tersebut. Namun demikian, insiden ini memicu diskusi yang lebih luas tentang keamanan dalam protokol lintas-chain, meskipun permintaan maaf yang diungkapkan dan janji untuk meningkatkan ambang multisig, yang diatur di 7/10 menggunakan OneSig.

LayerZero Labs berpendapat bahwa protokol tetap merupakan instrumen penting untuk melakukan transaksi yang aman dan besar, tetapi perlu menunggu beberapa minggu ke depan untuk melihat bagaimana pengembang dan organisasi bergerak.

Bank Anda menggunakan uang Anda. Anda hanya mendapatkan sisa-sisanya. Tonton video gratis kami tentang menjadi bank sendiri