LayerZero pertama kali mengakui kesalahan desain: Analisis titik kelemahan keamanan di balik peretasan KelpDAO sebesar 290 juta dolar

LayerZero mengakui bahwa terdapat kesalahan dalam desain arsitektur dalam kasus peretasan KelpDAO, yang utama disebabkan oleh mode verifikasi tunggal yang menciptakan celah keamanan, mengakibatkan kerugian aset sebesar 292 juta dolar.

Kasus peretasan KelpDAO, LayerZero pertama kali secara terbuka mengakui kesalahan

Protokol komunikasi lintas rantai LayerZero baru-baru ini secara terbuka mengakui bahwa dalam insiden peretasan KelpDAO terdapat kesalahan dalam desain arsitektur. Kejadian ini menyebabkan kerugian aset sekitar 292 juta dolar, dan menjadi salah satu serangan DeFi terbesar hingga saat ini pada tahun 2026.

Menurut penjelasan resmi, inti masalah berasal dari pengaturan lintas rantai KelpDAO yang menggunakan mode “Verifikator Tunggal (Single Verifier)”, yang memungkinkan penyerang memanfaatkan RPC poisoning dan kekurangan dalam proses verifikasi, untuk memalsukan informasi lintas rantai dan melewati pemeriksaan keamanan.

Co-founder LayerZero secara terbuka menyatakan: “Kami melakukan kesalahan, kami akan bertanggung jawab (We own that).” Ini juga merupakan kali pertama LayerZero secara langsung mengakui adanya masalah dalam desain protokol pada insiden keamanan besar.

Setelah kejadian, pasar mulai mempertanyakan model keamanan LayerZero secara cepat. Karena LayerZero lama mempromosikan “arsitektur keamanan yang dapat disesuaikan”, yang memungkinkan pengembang memilih verifikator dan konfigurasi keamanan sendiri, sebagian pengembang untuk mengurangi biaya dan meningkatkan efisiensi, menggunakan mode verifikasi yang lebih rendah keamanannya. Insiden ini dianggap sebagai pelepasan risiko arsitektur terkait secara besar-besaran pertama kalinya.

• Berita terkait: Kelp DAO kembali diretas! Dalam satu jam hilang 290 juta dolar, simak kronologi kejadian

Desain Verifikator Tunggal sebagai celah terbesar

Berdasarkan laporan insiden yang dipublikasikan LayerZero, KelpDAO saat deploy memilih mode verifikasi DVN (Decentralized Verifier Network) tunggal, bukan arsitektur verifikasi ganda. Ini berarti, selama satu node verifikasi tunggal terkontaminasi atau tertipu, penyerang berpotensi memalsukan informasi lintas rantai.

Dalam serangan ini, penyerang menggunakan teknik RPC poisoning, mencemari sebagian status on-chain dari node tertentu, sehingga verifikator salah menilai keaslian informasi, dan akhirnya berhasil mengeksekusi aset palsu secara lintas rantai. Karena jembatan lintas rantai secara esensial melibatkan verifikasi sinkronisasi multi-rantai, jika sumber verifikasi bermasalah, hal ini dapat langsung menyebabkan aset dicetak atau dipindahkan secara tidak sah.

LayerZero menegaskan bahwa protokol sebenarnya mendukung konfigurasi verifikasi ganda yang lebih aman, tetapi KelpDAO saat itu tidak mengaktifkan arsitektur lengkap tersebut. Meski begitu, pasar tetap mengkritik LayerZero atas masalah dalam desain produk dan panduan dokumen, karena pengembang mungkin meremehkan risiko berbeda dari berbagai pengaturan keamanan.

Beberapa peneliti keamanan menunjukkan bahwa insiden ini sebenarnya mengungkapkan masalah mendasar yang telah lama ada dalam protokol lintas rantai. Banyak sistem lintas rantai meskipun mengklaim desentralisasi, kenyataannya sangat bergantung pada sedikit node verifikasi, penyedia RPC, atau infrastruktur perantara, dan jika salah satu lapisan ini diserang, seluruh proses verifikasi aset bisa terganggu atau dipalsukan.

Model Keamanan Protokol Lintas Rantai Kembali Dipertanyakan

Setelah kejadian KelpDAO, komunitas DeFi kembali membahas logika keamanan protokol lintas rantai. Dalam beberapa tahun terakhir, sistem seperti Wormhole, Ronin Network, Harmony, dan lainnya pernah mengalami serangan besar akibat celah mekanisme verifikasi. Kepercayaan terhadap jembatan lintas rantai juga tetap rapuh dalam jangka panjang.

LayerZero sebelumnya mempromosikan arsitektur “Ultra Light Node” yang bertujuan menurunkan biaya dan hambatan deploy lintas rantai, serta melalui desain modular memungkinkan pengembang memilih konfigurasi keamanan sendiri. Namun, insiden ini menunjukkan bahwa “kemampuan menyesuaikan keamanan” bisa menjadi pedang bermata dua. Ketika protokol menyerahkan tanggung jawab keamanan secara besar kepada aplikasi, jika tim pengembang kekurangan kemampuan keamanan siber, justru bisa menimbulkan risiko yang lebih besar.

Para analis pasar berpendapat bahwa di masa depan, protokol lintas rantai mungkin akan cenderung mengadopsi pendekatan “keamanan tinggi secara default”, bukan membiarkan pengembang menyesuaikan solusi biaya terendah. Terutama karena dana institusional mulai masuk ke pasar keuangan berbasis blockchain, tuntutan terhadap keamanan dan tanggung jawab juga akan semakin ketat.

Ekosistem DeFi Masuk ke Tahap Peninjauan Infrastruktur

Kejadian ini tidak hanya berdampak pada satu serangan peretas. Banyak tim pengembang mulai melakukan peninjauan ulang terhadap pengaturan lintas rantai mereka, sumber RPC, dan arsitektur verifikasi, bahkan beberapa protokol secara darurat meningkatkan ambang verifikasi atau menangguhkan sebagian fungsi lintas rantai.

Di sisi lain, perusahaan keamanan on-chain dan lembaga riset juga menunjukkan bahwa di masa depan, penyerang kemungkinan akan semakin jarang melakukan peretasan langsung terhadap kontrak pintar, dan lebih banyak menargetkan infrastruktur dasar, termasuk RPC, jaringan verifikasi, oracle, dan sistem informasi lintas rantai. Serangan semacam ini biasanya lebih sulit dideteksi dan berpotensi mempengaruhi dana dalam jumlah besar.

LayerZero secara terbuka mengakui kesalahan ini, yang dalam tingkat tertentu juga menunjukkan bahwa infrastruktur DeFi mulai menghadapi budaya akuntabilitas yang lebih matang. Dulu, banyak protokol setelah diretas cenderung menyalahkan pihak ketiga atau pengguna, tetapi kini beberapa protokol besar bersedia mengakui adanya kekurangan dalam desain arsitektur mereka. Bagi industri Web3 secara keseluruhan, ini mungkin merupakan perubahan yang benar-benar patut diperhatikan.