Eksploitasi yang menguras sekitar $292 juta dari jembatan lintas-rantai KelpDAO selama akhir pekan “kemungkinan besar” adalah pekerjaan Lazarus Group Korea Utara, khususnya sub-unit TraderTraitor-nya, kata LayerZero dalam analisis awal pada hari Senin.
Para penyerang menguras 116.500 rsETH, sebuah token restaking cair yang didukung oleh ether yang di-stake, dari jembatan KelpDAO pada Sabtu, memicu penarikan di seluruh sektor keuangan terdesentralisasi yang menarik lebih dari $10 miliar dari protokol pinjaman Aave.
Serangan itu memiliki ciri-ciri “aktor negara yang sangat canggih, kemungkinan besar Lazarus Group dari DPRK,” kata LayerZero, merinci sub-unit TraderTraitor dari grup tersebut.
Operasi siber Korea Utara dijalankan di bawah Biro Umum Pengintaian (Reconnaissance General Bureau), yang menaungi beberapa unit berbeda, termasuk TraderTraitor, AppleJeus, APT38, dan DangerousPassword, menurut analisis oleh peneliti Paradigm Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Di antara sub-unit ini, TraderTraitor telah ditandai sebagai aktor DPRK paling canggih yang menargetkan kripto, sebelumnya terkait dengan kompromi Axie Infinity Ronin Bridge dan WazirX.
LayerZero mengatakan bahwa KelpDAO telah menggunakan satu verifikator untuk menyetujui transfer masuk dan keluar dari jembatan, menambahkan bahwa mereka telah berulang kali mendesak KelpDAO untuk menggunakan beberapa verifikator.
Ke depannya, LayerZero mengatakan akan berhenti menyetujui pesan untuk aplikasi apa pun yang masih menjalankan pengaturan tersebut.
Para pengamat mengatakan eksploitasi tersebut mengungkap bagaimana jembatan itu dibangun untuk mempercayai satu verifikator.
Itu adalah “satu titik kegagalan, terlepas dari apa pun sebutan pemasarannya,” kata Shalev Keren, salah satu pendiri perusahaan keamanan kriptografi Sodot, kepada Decrypt.
Satu titik pemeriksaan yang disusupi sudah cukup untuk memungkinkan dana keluar dari jembatan, dan tidak ada audit atau tinjauan keamanan yang bisa memperbaiki cacat itu tanpa “menghilangkan kepercayaan unilateral dari arsitektur itu sendiri,” kata Keren.
Pandangan itu digaungkan oleh Haoze Qiu, Blockchain Lead di Grvt, yang berpendapat bahwa, "Kelp DAO tampaknya telah menerima pengaturan keamanan jembatan dengan redundansi yang terlalu sedikit untuk aset sebesar ini," menambahkan bahwa LayerZero "juga memiliki akuntabilitas" mengingat bahwa "kompromi tersebut melibatkan infrastruktur yang terkait dengan tumpukan validatornya, meskipun ini tidak digambarkan sebagai bug protokol inti."
Para penyerang hampir menguras $100 juta lagi dalam waktu tiga menit sebelum daftar hitam cepat memotong mereka, menurut analisis oleh perusahaan keamanan blockchain Cyvers. Operasi itu didasarkan pada penipuan saluran komunikasi tunggal, CTO Cyvers Meir Dolev mengatakan kepada Decrypt.
Penyerang menyadap dua jalur yang digunakan verifikator untuk memeriksa apakah penarikan benar-benar terjadi di Unichain, memberinya "ya" palsu pada jalur tersebut, lalu memutus jalur yang tersisa secara offline untuk memaksa verifikator bergantung pada jalur yang telah disusupi.
“Brankas baik-baik saja. Penjaga itu jujur. Mekanisme pintu berfungsi dengan benar,” kata Dolev. “Kebohongan itu dibisikkan langsung kepada satu pihak yang perkataannya membuka pintu.”
Namun sementara LayerZero, yang infrastrukturnya menggerakkan jembatan yang dikuras, menunjuk Lazarus sebagai pelaku yang mungkin, Cyvers tidak memberikan atribusi yang sama dalam analisisnya sendiri.
Beberapa pola cocok dengan operasi yang terkait dengan DPRK dalam hal kecanggihan, skala, dan eksekusi terkoordinasi, kata Dolev, tetapi tidak ada pengelompokan dompet yang terikat pada kelompok tersebut yang telah dikonfirmasi.
Perangkat lunak node berbahaya itu dirancang untuk menghapus dirinya sendiri setelah serangan selesai, membersihkan biner dan log untuk mengaburkan jejak penyerang secara real time dan dalam analisis pasca-kejadian, tambahnya.
Awal bulan ini, para penyerang menguras sekitar $285 juta dari protokol perpetuals berbasis Solana, Drift, dalam sebuah eksploitasi yang kemudian dikaitkan dengan agen Korea Utara.
Dolev mencatat bahwa peretasan Drift “sangat berbeda dalam hal persiapan dan eksekusi,” tetapi kedua serangan tersebut membutuhkan waktu persiapan yang lama, keahlian mendalam, dan sumber daya yang signifikan untuk berhasil.
Cyvers menduga bahwa dana curian telah ditransfer ke alamat Ethereum ini, sejalan dengan laporan terpisah dari investigator on-chain ZachXBT yang menandainya bersama empat alamat lainnya. Alamat-alamat serangan didanai melalui coin mixer Tornado Cash, menurut ZachXBT.
