Kode Tidak Bermasalah Tapi Tetap Dibobol, Apa Itu "Kerentanan Konfigurasi DVN" yang Jadi Penyebab Kasus Peretasan Terbesar 2026?
Pada 18 April 2026, Kelp DAO kehilangan 116.500 rsETH (senilai $293 juta) dalam serangan terhadap protokol restaking likuiditasnya. Penyerang berhasil memanfaatkan celah konfigurasi DVN (Decentralized Verifier Network) pada LayerZero V2, bukan bug dalam kode kontrak.
Kelp DAO menggunakan konfigurasi 1-of-1 untuk validasi pesan lintas chain, yang berarti hanya membutuhkan satu node DVN untuk mengonfirmasi transaksi. Penyerang berhasil membobol satu node tersebut, memalsukan pesan lintas chain, dan mencetak rsETH tanpa jaminan aset. Aset palsu ini kemudian digunakan sebagai jaminan di platform pinjaman seperti Aave, Compound, dan Euler untuk meminjam aset nyata senilai $236 juta.
Kejadian ini menyoroti kelemahan dalam audit keamanan tradisional, yang berfokus pada kode kontrak tetapi mengabaikan risiko konfigurasi dan operational security (OpSec). LayerZero menegaskan bahwa aplikasi lain yang menggunakan konfigurasi DVN lebih aman (seperti 2-of-3 atau 5-of-9) tidak terdampak.
Ini adalah serangan DeFi terbesar pada 2026, menekankan pentingnya pemeriksaan konfigurasi yang ketat, terutama dalam protokol lintas chain.
marsbit04/19 23:59
