LayerZero menyatakan bahwa Lazarus Group dari Korea Utara kemungkinan adalah pelaku di balik eksploitasi Kelp DAO yang menguras 116.500 rsETH senilai sekitar $292 juta.
Perusahaan tersebut mengatakan indikasi awal menunjuk pada "aktor negara yang sangat canggih" dan menyebut "Lazarus Group DPRK, lebih khusus TraderTraitor" dalam pernyataan terbarunya.
Serangan itu terjadi pada 18 April dan dengan cepat menjadi eksploitasi DeFi terbesar yang dilaporkan tahun ini. LayerZero mengatakan penyerang menargetkan sistem yang digunakan untuk memverifikasi pesan lintas-rantai, yang memungkinkan pesan palsu untuk melewati dan membuka kunci token di bridge.
LayerZero mengatakan penyerang mendapatkan akses ke daftar node RPC yang digunakan oleh jaringan terverifikasi terdesentralisasi LayerZero Labs, atau DVN. Menurut perusahaan, penyerang kemudian meracuni dua node tersebut sehingga mereka mengirimkan pesan lintas-rantai palsu ke jaringan verifikator.
Pada saat yang sama, penyerang meluncurkan serangan DDoS terhadap node yang bersih, yang mendorong DVN untuk mengandalkan node yang diracuni. LayerZero mengatakan kombinasi ini memungkinkan pesan palsu melewati sistem dan memicu pembukaan kunci token yang menyebabkan kerugian.
Selain itu, LayerZero mengatakan kerusakan menjadi mungkin karena Kelp DAO menggunakan pengaturan DVN 1-dari-1 tunggal tanpa verifikator cadangan. Perusahaan mengatakan ini menciptakan satu titik kegagalan, tidak meninggalkan pemeriksaan independen untuk menolak pesan palsu sebelum bridge melepaskan dana.
Dalam pernyataannya, LayerZero mengatakan "mengoperasikan konfigurasi satu titik kegagalan berarti tidak ada verifikator independen untuk menangkap dan menolak pesan palsu." Mereka juga mengatakan "LayerZero dan pihak eksternal lainnya sebelumnya telah mengkomunikasikan praktik terbaik seputar diversifikasi DVN kepada KelpDAO." Perusahaan menambahkan bahwa mereka tidak akan lagi menandatangani pesan untuk aplikasi yang menggunakan pengaturan DVN 1/1.
Eksploitasi tersebut menyebarkan tekanan di seluruh DeFi setelah penyerang memindahkan rsETH yang dicuri ke Aave V3 dan menggunakannya sebagai jaminan untuk meminjam sejumlah besar WETH. Ini menimbulkan kekhawatiran tentang kemungkinan utang buruk di Aave dan menyebabkan protokol tersebut membekukan pasar rsETH di V3 dan V4.
Pendiri Aave Stani Kulechov mengatakan “RsETH telah dibekukan di Aave V3 dan V4” dan menambahkan bahwa aset tersebut tidak lagi memiliki daya pinjam karena eksploitasi bridge Kelp DAO. Data historis dari Aavescan menunjukkan lebih dari $10 miliar meninggalkan Aave setelah serangan, dengan total dana yang disuplai turun menjadi $35,7 miliar dari $45,8 miliar.
Dampak buruknya meluas di luar Aave. Beberapa protokol DeFi, termasuk Ethena, ether.fi, Tron DAO, dan Curve Finance, menghentikan bridge OFT LayerZero sebagai tindakan pencegahan.
Data DefiLlama menunjukkan total nilai terkunci (TVL) DeFi turun 7% dalam 24 jam menjadi sekitar $86,3 miliar, turun dari $99,5 miliar pada 18 April. LayerZero mengatakan ada "nol penularan" untuk aset atau aplikasi lain yang menggunakan pengaturan multi-DVN, sementara upaya penegakan hukum untuk melacak dana terus berlanjut.
