Masih ingat dengan kasus pencurian sebesar 2,92 miliar dolar AS yang mengguncang dunia kripto tahun lalu? Sampai sekarang kedua belah pihak masih saling menyalahkan, suasananya cukup canggung.

Kejadian seperti ini. Pada April tahun lalu, Kelp DAO diserang hacker, dicuri 116.500 rsETH, memecahkan rekor pencurian terbesar di DeFi tahun itu. Setelah penyelidikan, ditemukan bahwa dalang di baliknya sangat mungkin adalah organisasi hacker Korea Utara, Lazarus. Organisasi ini pernah melakukan banyak kasus besar sebelumnya, dan kali ini mereka juga bertindak dengan sangat profesional—mereka terlebih dahulu menyerang node verifikasi DVN LayerZero, menanam virus di 2 dari 3 node RPC, lalu meluncurkan serangan DDoS ke node lainnya, dan akhirnya berhasil menipu sistem agar menandatangani transaksi pencurian token.

LayerZero kemudian merilis laporan penyelidikan, secara langsung menuduh Kelp DAO menggunakan konfigurasi "1-of-1 DVN" yang rapuh, menyebut ini seperti bom waktu yang tersembunyi di dalam sistem. Mereka juga menegaskan bahwa sebelumnya sudah berkali-kali menyarankan Kelp untuk mendistribusikan konfigurasi node, tetapi saran tersebut diabaikan.

Setelah dituduh, Kelp DAO langsung membalas dengan keras. Mereka mengeluarkan pernyataan di X bahwa konfigurasi verifikasi titik tunggal ini sebenarnya adalah opsi default yang tertulis di dokumen resmi LayerZero, bukan mereka yang mengatur sembarangan. Kelp juga menyatakan bahwa sejak Januari 2024 mereka sudah menggunakan infrastruktur LayerZero, komunikasi antara keduanya selalu lancar, dan saat memperluas ke Layer 2 juga pernah didiskusikan tentang konfigurasi DVN, bahkan saat itu pihak LayerZero mengonfirmasi bahwa pengaturan tersebut sesuai.

Yang menarik, kedua belah pihak saling menyalahkan dalam hal ini, saling melempar tanggung jawab atas celah keamanan ini. Kelp DAO akhirnya menegaskan bahwa mereka telah mengambil langkah darurat secepatnya, menangguhkan kontrak terkait, dan memasukkan dompet hacker ke daftar hitam, sehingga situasi terkendali. Untuk langkah penguatan keamanan selanjutnya, tim Kelp mengatakan masih dalam penilaian.

Dari sudut pandang tertentu, kasus ini sebenarnya menimbulkan pertanyaan klasik: apakah penyedia alat bertanggung jawab memastikan pengguna memilih konfigurasi yang tepat, atau pengguna sendiri yang harus bertanggung jawab atas keputusan keamanan? Operasi Lazarus sendiri sebenarnya tidak ada yang salah, tetapi gelombang tanggung jawab ini mencerminkan beberapa masalah mendalam dalam ekosistem DeFi.