2.9 Miliar Dolar Dicuri Siapa yang Bertanggung Jawab? Kelp DAO Lempar Tuduhan: LayerZero "Pengaturan Default" Penyebabnya

Sebuah serangan hacker sebesar 292 juta dolar tidak hanya mencatatkan rekor pencurian terbesar di bidang DeFi tahun ini, tetapi juga memicu sebuah perselisihan di dunia kripto tentang siapa yang harus bertanggung jawab. Menanggapi serangan keras dari luar, Kelp DAO, sebuah protokol staking likuiditas, mengeluarkan pernyataan pada hari Senin, dengan tegas membantah tuduhan kelalaian dari pihak luar, dan menuding penyedia teknologi lintas rantai LayerZero sebagai penyebab utama celah perlindungan tersebut.
Mengingat insiden pada 18 April lalu, Kelp DAO yang dibangun menggunakan teknologi lintas rantai LayerZero mengalami perampokan oleh hacker, dengan kerugian mencapai 116.500 token rsETH, senilai sekitar 292 juta dolar, mencatatkan sebagai insiden pencurian terbesar di bidang DeFi tahun ini.
Menanggapi serangan ini, LayerZero pada hari Minggu merilis laporan investigasi awal, yang menyebutkan bahwa pelaku di balik serangan tersebut sangat mungkin adalah kelompok hacker terkenal dari Korea Utara, “Lazarus Group”.
Laporan tersebut mengungkapkan bahwa hacker pertama-tama masuk ke daftar node RPC dari jaringan verifikasi desentralisasi LayerZero (DVN, yang bertanggung jawab memverifikasi keaslian pesan lintas rantai), kemudian melakukan poisoning terhadap dua node RPC, dan melancarkan serangan DDoS terhadap node RPC yang tersisa, memaksa sistem beralih ke node yang telah dimanipulasi, sehingga DVN menerima pesan lintas rantai palsu, dan akhirnya menandatangani transaksi pencurian token yang tidak sah tersebut.
Dalam laporannya, LayerZero mengkritik Kelp DAO karena mengadopsi konfigurasi “DVN 1-of-1 (verifikasi tunggal)” yang sangat rapuh. LayerZero menegaskan bahwa desain ini kurang memiliki mekanisme verifikasi independen, seperti menanamkan risiko “single point of failure” yang fatal, sehingga jaringan tidak mampu menahan masuknya pesan lintas rantai palsu.
LayerZero menyatakan, “Kami dan para ahli eksternal sebelumnya telah berkali-kali menyarankan Kelp DAO agar mendistribusikan konfigurasi node DVN untuk meningkatkan keamanan, tetapi meskipun telah diberikan saran tersebut, Kelp tetap bersikeras menggunakan konfigurasi DVN 1-of-1.”
Menanggapi tuduhan keras bahwa mereka tidak mendengarkan saran, Kelp DAO langsung membalas di platform komunitas X, menuduh bahwa konfigurasi “DVN 1-of-1” yang menyebabkan kerusakan besar tersebut sebenarnya adalah hasil langsung dari inisiatif resmi LayerZero. Dalam pernyataannya, Kelp DAO membantah:

“Konfigurasi verifikasi titik tunggal yang disebutkan itu tertulis jelas dalam dokumen teknis resmi LayerZero, dan ini sebenarnya adalah ‘opsi default’ saat membangun token homogenisasi seluruh rantai (OFT, standar token yang memungkinkan transfer tanpa hambatan antar rantai). Sejak Januari 2024, Kelp telah berjalan di infrastruktur LayerZero dan selalu menjaga komunikasi terbuka dengan tim LayerZero.”

Kelp DAO juga menyatakan bahwa saat mereka berencana memperluas ke Layer 2, kedua belah pihak pernah melakukan diskusi mendalam tentang konfigurasi DVN, dan pengaturan node verifikasi tunggal saat itu bahkan mendapatkan konfirmasi resmi dari LayerZero sebagai “layak dan tepat”.
“Proses rekonstruksi kejadian yang disepakati kedua pihak secara akurat adalah dasar bagi langkah perbaikan yang tepat,” kata Kelp DAO dengan nada ganda makna, mengisyaratkan bahwa LayerZero seharusnya tidak buru-buru menyalahkan pihak lain.
Meskipun kedua pihak masih berselisih tentang siapa yang bertanggung jawab atas celah keamanan, Kelp DAO menegaskan bahwa tim mereka telah mengambil langkah cepat dan tegas sejak awal kejadian, termasuk menghentikan sementara kontrak pintar terkait secara darurat, dan memasukkan semua alamat dompet yang terkait dengan hacker ke dalam daftar hitam, sehingga mampu mengendalikan situasi dan mencegah kerugian yang lebih besar.