Kelp DAO mengatakan akan memigrasikan rsETH ke Protokol Interoperabilitas Lintas Rantai Chainlink setelah eksploitasi bridge senilai $292 juta pada bulan April, sementara perselisihannya dengan LayerZero mengenai penyebab serangan semakin meruncing.
Kelp DAO mengatakan langkah ke Chainlink CCIP adalah bagian dari rencananya untuk memperkuat keamanan rsETH setelah peretas menguras 116.500 rsETH dari bridge bertenaga LayerZero miliknya pada 18 April. Token yang dicuri kemudian digunakan sebagai jaminan di Aave v3 untuk meminjam Wrapped Ether (wETH).
“Setelah eksploitasi LayerZero baru-baru ini, kami mengambil langkah untuk memastikan rsETH sepenuhnya aman, itulah sebabnya kami bermigrasi ke Chainlink CCIP,” kata Kelp DAO dalam sebuah unggahan X.
Perubahan ini akan memindahkan rsETH dari standar OFT LayerZero ke standar Token Lintas Rantai Chainlink.
Serangan ini telah menjadi salah satu eksploitasi DeFi terbesar yang dilaporkan tahun ini. Ini juga memicu tekanan di seluruh pasar pinjam-meminjam karena rsETH yang dicuri masuk ke Aave sebagai jaminan sebelum sebagian dana terkait dibekukan.
Kelp DAO mengklaim LayerZero menyetujui pengaturan verifikator 1-dari-1 yang kemudian disalahkan oleh LayerZero atas eksploitasi tersebut. Kelp mengatakan telah menggunakan infrastruktur LayerZero sejak Januari 2024 dan menjaga komunikasi terbuka dengan tim LayerZero.
Protokol tersebut juga mengatakan pengaturan DVN muncul lebih dari sekali selama pembicaraan integrasi. Menurut Kelp, konfigurasi tersebut “dikonfirmasi aman pada saat itu.”
Kelp selanjutnya berargumen bahwa pengaturan 1-dari-1 tidak jarang. Mereka mengutip data Dune Analytics yang menunjukkan bahwa hampir setengah dari pengguna LayerZero memiliki konfigurasi DVN tunggal. Kelp mengatakan ini menimbulkan keraguan apakah risiko tersebut telah dijelaskan dengan jelas kepada para pengembang sebelum peretasan.
Tim juga merujuk pada tangkapan layar percakapan Telegram yang menurutnya menunjukkan kesadaran LayerZero akan pengaturan tersebut. Namun, CoinDesk mengatakan tidak dapat memverifikasi tangkapan layar tersebut secara independen.
Salah satu pendiri dan CEO LayerZero, Bryan Pellegrino, menolak pernyataan Kelp. Dalam balasan di X, ia mengatakan “banyak” dari klaim tersebut “sama sekali tidak benar.”
Pellegrino mengatakan Kelp awalnya menggunakan pengaturan multi-DVN bawaan LayerZero, kemudian mengubah konfigurasi menjadi 1-dari-1. Ia berpendapat bahwa pengaturan ini tidak direkomendasikan untuk penggunaan produksi.
“Default yang dirujuk Kelp dalam tangkapan layar mereka adalah multiDVN atau DeadDVN,” kata Pellegrino. Ia menambahkan bahwa rsETH awalnya dikonfigurasi dengan LayerZero Labs dan Google di bawah model multi-DVN.
LayerZero sejak itu mengatakan tidak akan lagi menyetujui pesan lintas rantai untuk aplikasi yang menggunakan verifikator tunggal. Perusahaan juga mengatakan protokol yang menggunakan pengaturan tersebut sedang dipindahkan ke konfigurasi multi-DVN. Pellegrino mengatakan analisis pasca-kejadian (postmortem) lengkap dari perusahaan keamanan eksternal akan segera dirilis.
Eksploitasi rsETH juga telah dibawa ke pengadilan. Menurut crypto.news, Aave LLC mengajukan mosi darurat di New York pada 4 Mei untuk mencabut pemberitahuan pembatasan yang diajukan kepada Arbitrum DAO. Pemberitahuan tersebut berupaya memblokir transfer ETH yang terkait dengan insiden rsETH pada 18 April.
Pengajuan tersebut berkaitan dengan sekitar $71 juta ETH yang dibekukan. Gerstein Harrow LLP mengklaim dana tersebut dapat membantu memenuhi putusan yang belum dibayar terkait dugaan pencurian kripto yang berhubungan dengan Korea Utara. Aave membantah klaim tersebut dan mengatakan aset yang dicuri tidak menjadi properti Korea Utara hanya karena terduga penyerang sempat menahannya.
Aave juga mengatakan tidak ada pengadilan yang menyatakan bahwa Korea Utara, Lazarus Group, atau pihak terkait melakukan peretasan tersebut. Protokol tersebut berpendapat bahwa aset yang dibekukan adalah milik pengguna yang terkena dampak eksploitasi.
Dewan Keamanan Arbitrum membekukan 30.765,6675 ETH pada 21 April. Aave mengatakan dana tersebut dipindahkan ke alamat yang ditunjuk untuk mendukung cadangan rsETH dan membantu pengguna yang terkena dampak pulih.
