Kelp mengklaim bahwa LayerZero menyetujui pengaturan yang dituduh sebagai penyebab peretasan jembatan senilai $292 juta

Kelp DAO mengklaim bahwa personel LayerZero menyetujui pengaturan verifier 1-of-1, sebuah keputusan yang sejak itu dikutip oleh LayerZero sebagai alasan seorang peretas yang terkait dengan Korea Utara menguras sekitar $292 juta dari jembatan rsETH milik Kelp.

Klaim tersebut bertentangan dengan LayerZero's Postmortem 19 April, yang mengatakan bahwa aplikasi rsETH milik Kelp bergantung pada LayerZero Labs sebagai satu-satunya verifier-nya dan bahwa pengaturan tersebut "secara langsung bertentangan" dengan model multi-DVN yang direkomendasikan oleh LayerZero.

Memo Kelp menyatakan bahwa personel LayerZero telah meninjau konfigurasi mereka selama lebih dari 2,5 tahun dan dalam delapan diskusi integrasi, tanpa memberikan peringatan bahwa pengaturan 1-of-1 menimbulkan risiko keamanan yang material.

Memo tersebut, berjudul “Meluruskan Fakta Mengenai Peretasan Jembatan LayerZero,” mencakup tangkapan layar pertukaran Telegram yang mendokumentasikan kesadaran LayerZero dan tidak adanya keberatan terhadap pengaturan verifier Kelp.

Salah satu tangkapan layar menunjukkan anggota tim LayerZero yang berkata: “Tidak masalah menggunakan default juga — hanya menandai [redacted] di sini karena dia menyebutkan Anda mungkin ingin menggunakan pengaturan DVN khusus untuk memverifikasi pesan, tetapi akan menyerahkan itu kepada tim Anda!” Kelp mengatakan bahwa “default” yang disebutkan dalam pertukaran tersebut adalah konfigurasi DVN 1-dari-1 LayerZero Labs yang kemudian dikutip oleh LayerZero sebagai pengaturan tingkat aplikasi yang memungkinkan eksploitasi tersebut.

CoinDesk tidak dapat secara independen mengautentikasi tangkapan layar tersebut.

Template LayerZero

Kelp juga menunjuk pada cakupan bug bounty LayerZero, OFT Quickstart, dan contoh pengembang sebagai bukti bahwa LayerZero memperlakukan pilihan jaringan verifier sebagai konfigurasi tingkat aplikasi sambil menampilkan kepada pembuat satu pengaturan DVN.

LayerZero's ruang lingkup bounty bug yang dipublikasikan pada Immunefi mengecualikan dari hadiah 'dampak pada OApps itu sendiri sebagai akibat dari miskonfigurasi mereka sendiri,' termasuk jaringan verifier dan eksekutor.

The LayerZero OFT Panduan Cepat dan konfigurasi contoh resmi OFT di GitHub menunjukkan LayerZero Labs sebagai DVN yang diwajibkan, tanpa DVN opsional yang ditetapkan.

Memo Kelp mengutip sebuah Posting 19 April dari peneliti keamanan Spearbit Sujith Somraaj, di mana Somraaj mengatakan bahwa dia telah mengirimkan laporan bug bounty yang menjelaskan pola serangan yang sama dan bahwa LayerZero menolaknya.

"Bug bounty saya: bukan kerentanan, membutuhkan semua DVN," tulis Somraaj di X. "Penempatan mereka: menghilangkan bagian 'semua'. Peretas: mengumpulkan hadiah sebesar $295 juta sebagai gantinya." Somraaj adalah mantan auditor LayerZero, menurut Profil Cantina.

Kelp berpindah ke Chainlink

Kelp juga mengumumkan bahwa mereka memindahkan rsETH dari LayerZero ke Chainlink's Protokol Interoperabilitas Lintas Rantai. Perubahan ini memindahkan rsETH dari standar OFT LayerZero ke standar Token Cross-Chain Chainlink.

Eksploitasi tersebut menguras 116.500 rsETH, senilai sekitar $292 juta, dari jembatan Kelp yang didukung oleh LayerZero. Dua transaksi palsu tambahan dengan total lebih dari $100 juta ditandatangani dan diproses oleh LayerZero Labs DVN sebelum Kelp menghentikan kontraknya, kata protokol tersebut.

LayerZero mengatakan penyerang kemungkinan terkait dengan Lazarus Group dari Korea Utara, yang mengakses daftar RPC yang digunakan oleh LayerZero Labs DVN, mengkompromikan dua node RPC dan mengganti biner yang dijalankan pada node tersebut.

Para penyerang kemudian melancarkan serangan DDoS terhadap node RPC yang tidak terkena kompromi, memaksa pergantian ke node yang telah teracuni. LayerZero menyatakan bahwa DVN kemudian mengonfirmasi transaksi yang sebenarnya tidak terjadi.

Kelp berargumen bahwa pengaturan 1-of-1 adalah umum. CoinGecko, mengutip data dari Dune Analytics, menyatakan bahwa 47% dari sekitar 2.665 kontrak LayerZero OApp aktif menjalankan konfigurasi DVN 1-of-1 selama periode 90 hari yang berakhir sekitar 22 April, dengan lebih dari $4,5 miliar nilai pasar terkait yang terekspos pada kelas risiko yang sama.

Laporan pasca-kejadian LayerZero menyatakan protokol tersebut "berfungsi sesuai dengan yang diharapkan." Perusahaan mengatakan bahwa mereka tidak akan lagi menandatangani pesan untuk aplikasi apapun yang menjalankan konfigurasi 1-of-1, sebuah perubahan kebijakan yang mulai berlaku setelah serangan tersebut.

Kelp menuduh bahwa timnya harus melaporkan eksploitasi tersebut kepada LayerZero, bukan sebaliknya, yang menimbulkan pertanyaan tentang sistem pemantauan LayerZero.

Memo tersebut juga menuduh adanya tumpang tindih substansial pada alamat yang diberikan peran ADMIN_ROLE baik di LayerZero Labs DVN maupun Nethermind DVN, dengan daftar sepuluh alamat pada 8 April 2026 dan lima tambahan pada 6 Februari 2025. CoinDesk belum memverifikasi klaim onchain tersebut secara independen.

LayerZero tidak menanggapi permintaan komentar dari pihak publikasi.

Pada setidaknya dua rantai terintegrasi, Dinari dan Skale, LayerZero Labs DVN masih tercantum sebagai satu-satunya attestor yang tersedia, menurut dokumentasi.

Dalam sebuah pernyataan, seorang juru bicara LayerZero mengatakan, "Sujith benar, konfigurasi 1/1 berada di luar cakupan program bug bounty. Hadiah kami difokuskan pada kerentanan dalam protokol LayerZero itu sendiri, bukan pada pilihan konfigurasi tingkat aplikasi. Jika tidak, setiap aplikasi dapat menerapkan dan mengatur diri mereka sendiri ke satu-satunya DVN untuk secara jahat mengumpulkan hadiah. Mengenai Default OFT dan contoh GitHub: default protokol di hampir semua jalur adalah multi-DVN. Dalam kasus di mana konfigurasi 1-of-1 digunakan dalam template, itu mengarah ke kontrak 'DeadDVN' yang menolak pesan dan mendorong pengembang untuk mengonfigurasi tumpukan keamanan mereka dengan benar sebelum go live. Klaim bahwa Kelp menggunakan konfigurasi default LayerZero tidak akurat. Mereka menerapkan multiDVN dan kemudian secara manual menurunkan menjadi 1/1."

PEMBARUAN (5 Mei 2026, 22:22 UTC): Menambahkan pernyataan dari LayerZero.