Eksploitasi senilai $290 juta pada jembatan lintas-rantai KelpDAO pada 18 April, yang oleh LayerZero diatribusikan kepada Lazarus Group dari Korea Utara, mengguncang dunia DeFi dan menghapus lebih dari $13 miliar nilai total terkunci (TVL) di berbagai protokol dalam waktu 48 jam.
Penyerang menguras 116.500 rsETH, senilai sekitar $290 juta, dari jembatan lintas-rantai yang didukung LayerZero milik KelpDAO pada 18 April, dalam apa yang disebut CoinDesk sebagai eksploitasi DeFi terbesar tahun 2026 hingga saat ini. LayerZero, yang infrastrukturnya menopang jembatan tersebut, menyatakan dalam sebuah pernyataan pada hari Senin bahwa "indikator awal menunjukkan atribusi kepada aktor negara yang sangat canggih, kemungkinan Lazarus Group dari DPRK."
Serangan ini bekerja dengan mengkompromikan dua node panggilan prosedur jarak jauh (remote procedure call nodes) yang diandalkan oleh verifikator LayerZero untuk mengonfirmasi transaksi lintas-rantai, kemudian membanjiri node cadangan dengan lalu lintas sampah untuk memaksa failover ke titik akhir yang telah dirusak. Begitu verifikator menyetujui transaksi palsu, jembatan tersebut melepaskan $290 juta dalam bentuk rsETH ke alamat yang dikendalikan penyerang. Malware tersebut kemudian menghancurkan diri sendiri, menghapus file biner dan log untuk menyulitkan penyelidikan forensik. Seperti yang dilaporkan crypto.news, eksploitasi ini memicu arus keluar dana lebih dari $10 miliar dari Aave saja, dengan nilai total terkunci (TVL) protokol pinjaman tersebut turun dari $45,8 miliar menjadi $35,7 miliar karena pengguna bergegas untuk keluar. UPI melaporkan bahwa lebih dari $13 miliar terhapus dari nilai total terkunci di seluruh platform DeFi dalam dua hari setelah pelanggaran tersebut.
Perselisihan telah pecah mengenai siapa yang bertanggung jawab atas kerentanan yang memungkinkan serangan itu terjadi. LayerZero mengatakan KelpDAO telah memilih untuk mengoperasikan konfigurasi jaringan verifikator terdesentralisasi 1-dari-1, sebuah titik kegagalan tunggal yang telah berulang kali diperingatkan, dan mengumumkan bahwa mereka tidak akan lagi menandatangani pesan untuk aplikasi apa pun yang menggunakan pengaturan tersebut. KelpDAO membantah, mengatakan kepada CoinDesk bahwa konfigurasinya mengikuti pengaturan standar yang didokumentasikan LayerZero sendiri dan bahwa validator yang dikompromikan adalah bagian dari infrastruktur LayerZero sendiri. Seperti yang didokumentasikan crypto.news, peneliti keamanan independen termasuk pengembang Yearn Finance menemukan bahwa kode deployment publik LayerZero dilengkapi dengan pengaturan default verifikasi sumber tunggal di setiap rantai utama, melemahkan klaim perusahaan bahwa KelpDAO telah menyimpang dari pedoman.
Eksploitasi KelpDAO adalah pelanggaran DeFi besar kedua yang terkait dengan Lazarus pada bulan April saja, menyusul serangan Drift Protocol senilai $285 juta pada 1 April, menjadikan total hasil jarahan DeFi grup tersebut untuk bulan ini menjadi lebih dari $575 juta. Penyerang sejak itu mulai mencuci dana curian tersebut, mengarahkan aset melalui Arbitrum dan ke stablecoin berbasis Tron, seperti yang telah dilacak oleh crypto.news. Jefferies telah memperingatkan bahwa peretasan besar-besaran berskala ini dapat memperlambat sementara minat Wall Street terhadap proyek tokenisasi, karena institusi mengevaluasi ulang risiko keamanan yang melekat pada infrastruktur jembatan DeFi. LayerZero mengatakan telah mengonfirmasi nol penularan ke aplikasi lain yang menjalankan konfigurasi multi-verifikator, tetapi telah memaksakan migrasi seluruh protokol menjauh dari pengaturan validator tunggal.
LayerZero mengatakan sedang bekerja sama dengan KelpDAO, Security Alliance, dan lembaga penegak hukum untuk melacak dana yang dicuri, meskipun penggunaan alat privasi oleh penyerang telah secara signifikan mempersulit upaya pemulihan.
