Eksploitasi rsETH KelpDAO senilai $290 juta telah memasuki fase baru, dengan LayerZero dan Aave kini secara terbuka menguraikan bagaimana insiden itu terjadi, mengapa kerusakan tampaknya terkendali, dan apa artinya bagi standar keamanan lintas chain crypto ke depannya.
Klaim utama dari LayerZero adalah bahwa eksploitasi tersebut bukanlah kegagalan protokol itu sendiri, tetapi hasil dari keputusan KelpDAO untuk menjalankan rsETH dengan konfigurasi DVN-tunggal. Hal ini penting karena pernyataan terbaru mengalihkan narasi pasar dari risiko penularan umum di seluruh aset yang terintegrasi LayerZero ke pertanyaan yang lebih sempit: seberapa besar risiko terkonsentrasi dalam desain keamanan satu aplikasi.
LayerZero Tautkan Eksploitasi Crypto KelpDAO ke Serangan RPC
Dalam pernyataan insiden tanggal 20 April, LayerZero mengatakan serangan pada 18 April menargetkan pengaturan rsETH KelpDAO dan "sepenuhnya terisolasi pada konfigurasi rsETH KelpDAO sebagai konsekuensi langsung dari pengaturan DVN-tunggal mereka." Perusahaan menambahkan bahwa mereka telah melakukan "tinjauan komprehensif terhadap integrasi aktif" dan dapat memastikan "dengan keyakinan bahwa tidak ada penularan ke aset atau aplikasi lain."
LayerZero membingkai episode ini sebagai serangan infrastruktur crypto yang dikaitkan dengan negara, bukan eksploitasi protokol. Menurut pernyataan itu, "indikator awal menunjukkan atribusi kepada aktor negara yang sangat canggih, kemungkinan Lazarus Group dari DPRK, lebih khusus lagi TraderTraitor."
Dikatakan bahwa serangan tersebut tidak membahayakan protokol, manajemen kunci, atau instance DVN secara langsung. Sebaliknya, penyerang diduga meracuni infrastruktur RPC hilir yang digunakan oleh DVN LayerZero Labs, menukar biner pada node op-geth yang dikompromikan, dan kemudian menggunakan tekanan DDoS pada RPC yang tidak dikompromikan untuk memaksa failover ke arah infrastruktur yang diracuni.
Urutan itu sangat penting untuk argumen LayerZero. "Karena prinsip least-privilege kami, mereka tidak dapat mengkompromikan instance DVN yang sebenarnya," tulis perusahaan. "Namun, mereka menggunakan titik pivot ini untuk menjalankan serangan pemalsuan RPC. Node jahat mereka menggunakan payload khusus yang dirancang khusus untuk memalsukan pesan ke DVN dengan peringatan minimal." LayerZero mengatakan node yang dimanipulasi menyajikan data palsu hanya kepada DVN sambil mengembalikan respons yang benar ke IP lain, termasuk infrastruktur pemantauannya sendiri, dalam upaya yang secara sengaja tersembunyi untuk menghindari deteksi.
Meski begitu, LayerZero berargumen bahwa eksploitasi seharusnya dihentikan di lapisan aplikasi jika rsETH tidak mengandalkan pengaturan verifier 1-of-1. "Aplikasi yang terkena dampak adalah rsETH, yang diterbitkan oleh KelpDAO," kata pernyataan itu. "Konfigurasi OApp mereka pada saat insiden ini mengandalkan pengaturan DVN 1-of-1, dengan LayerZero Labs sebagai satu-satunya verifier — konfigurasi yang secara langsung bertentangan dengan model redundansi multi-DVN yang secara konsisten direkomendasikan LayerZero kepada semua mitra integrasi."
Ditambahkan bahwa "konfigurasi yang diperkuat dengan benar akan membutuhkan konsensus di beberapa DVN independen, membuat serangan ini tidak efektif bahkan jika satu DVN saja dikompromikan."
Perusahaan mengatakan DVN-nya sudah hidup kembali, bahwa node RPC yang terkena dampak telah dihentikan dan diganti, dan bahwa mereka tidak akan lagi menandatangani atau mengesahkan pesan untuk aplikasi yang menggunakan konfigurasi 1/1. Mereka juga mengatakan sedang bekerja dengan penegak hukum dan mitra industri, termasuk Seal911, untuk melacak dana.
Aave mengatakan dalam pembaruan X pada akhir Protokol mengatakan analisisnya menunjukkan "rsETH di mainnet Ethereum didukung sepenuhnya," tetapi menambahkan bahwa "dengan kehati-hatian yang berlebihan, rsETH tetap dibekukan di seluruh Aave V3 dan V4 dan paparan terhadap insiden tersebut dibatasi." Cadangan WETH juga tetap dibekukan di seluruh pasar yang terkena dampak di Ethereum, Arbitrum, Base, Mantle, dan Linea sementara tim terus memvalidasi informasi dan menilai resolusi yang mungkin.
Pada waktu press, total kapitalisasi pasar crypto berada di $2,5 triliun.
