KelpDAO menyalahkan LayerZero atas eksploitasi senilai $292 juta dan berencana untuk meluncurkan kembali dengan sistem lintas-rantai yang didesain ulang di Chainlink, grup tersebut mengumumkan di X pada hari Selasa.

“Dari insiden 18 April, jelas bahwa infrastruktur LayerZero sendiri dieksploitasi, mengakibatkan kerugian $300 juta di seluruh DeFi,” tulis Kelp DAO di X. “Laporan independen dari SEAL 911, Chainalysis, dan peneliti keamanan terkemuka lainnya semuanya menunjuk pada asal yang sama.”

Pada bulan April, sebuah serangan menguras sekitar 116.500 rsETH—token staking berbasis Ethereum—dari jembatan lintas-rantai yang digunakan oleh Kelp, sebuah protokol yang memungkinkan pengguna untuk melakukan staking Ethereum dan memindahkan token antar blockchain. Eksploitasi ini telah dikaitkan dengan Lazarus Group Korea Utara.

Dalam postingan terpisah di X, Kelp mengatakan personel LayerZero menyetujui konfigurasi yang terkait dengan eksploitasi dan tidak memperingatkan bahwa itu menimbulkan risiko keamanan. Pengaturan tersebut, yang dikenal sebagai verifier 1-dari-1, bergantung pada satu entitas untuk memvalidasi transaksi lintas-rantai.

Kelp mengatakan serangan itu berasal dari pelanggaran infrastruktur LayerZero, di mana penyerang membobol node RPC jaringan verifier dan memaksa sistem untuk mengandalkan data yang dimanipulasi, memungkinkan transaksi palsu disetujui.

“Setelah eksploitasi, LayerZero mengumumkan bahwa mereka tidak akan lagi menandatangani atau mengesahkan pesan untuk aplikasi apa pun yang menggunakan konfigurasi DVN 1-1,” tulis Kelp. “Perubahan kebijakan itu, yang dilakukan setelah ratusan juta dolar dieksploitasi, menegaskan bahwa ini adalah konfigurasi LayerZero yang banyak digunakan yang baru diubah oleh LayerZero Labs setelah gagal.”

Dalam pernyataan bulan April, LayerZero membantah pernyataan tersebut, dengan mengatakan bahwa eksploitasi itu terbatas pada aplikasi rsETH Kelp dan diakibatkan oleh penggunaan pengaturan verifier tunggal yang bertentangan dengan model multi-verifier yang direkomendasikan perusahaan.

“Pembingkaian itu tidak sesuai dengan fakta,” tulis Kelp DAO. “Ini adalah domain publik bahwa pengaturan 1-1 ini tidak unik untuk Kelp.”

Menurut Kelp, mereka mengikuti dokumentasi dan konfigurasi default LayerZero. Perusahaan juga mengatakan pengaturan tersebut banyak digunakan di seluruh ekosistem, menunjuk pada data yang menunjukkan sebagian besar aplikasi mengandalkan konfigurasi serupa.

Kelp mengatakan pihaknya memindahkan sistem rsETH-nya ke protokol interoperabilitas lintas-rantai Chainlink, di mana transaksi harus disetujui oleh beberapa validator independen, bukan hanya satu verifier.

"Kami berkomitmen untuk bekerja dengan tim KelpDAO dalam meningkatkan keamanan lintas-rantai rsETH dan mendukung migrasi mereka ke Chainlink CCIP," kata Chief Business Officer Chainlink Johann Eid kepada Decrypt. "Kami telah lama percaya bahwa agar DeFi dapat mencapai potensi penuhnya dalam membawa triliunan onchain, ekosistem perlu didukung oleh infrastruktur yang sangat aman."

Dampak eksploitasi Kelp telah meluas melampaui sengketa teknis. Sekitar $71 juta dalam bentuk kripto yang terkait dengan eksploitasi tersebut dibekukan di jaringan Arbitrum, memicu pertikaian hukum di pengadilan federal New York.

“Ada pertanyaan yang pantas dijawab oleh ekosistem,” tulis Kelp DAO. “Dan kami memastikan rsETH diamankan oleh infrastruktur yang tidak meninggalkan pertanyaan-pertanyaan ini terbuka.”

LayerZero tidak segera menanggapi permintaan komentar dari Decrypt.