Pelanggaran Kelp DAO Senilai $290M Terkait Lazarus Group dan Keamanan Bridge yang Lemah

Poin-Poin Penting

• Sekitar $290–293 juta dicuri dari Kelp DAO menyusul serangan canggih pada node RPC yang terhubung ke sistem verifikasi LayerZero
• Kelp DAO diduga mengabaikan rekomendasi keamanan LayerZero untuk menerapkan beberapa verifier, beroperasi hanya dengan satu verifier
• Bukti awal menunjuk ke Lazarus Group Korea Utara sebagai pelaku di balik pelanggaran keamanan ini
• Sembilan platform DeFi, terutama Aave, mengalami kerusakan berantai, dengan total value locked Aave menurun sebesar $6 miliar
• Ke depannya, LayerZero telah menyatakan akan menolak mendukung aplikasi yang beroperasi dengan konfigurasi single-verifier

Dalam apa yang menjadi salah satu pelanggaran keamanan keuangan terdesentralisasi paling signifikan di tahun 2026, Kelp DAO menderita kerugian total sekitar $290–293 juta selama serangan akhir pekan. LayerZero, protokol pesan lintas rantai yang digunakan dalam insiden tersebut, telah mengaitkan kerentanan tersebut dengan keputusan infrastruktur Kelp.

Pelanggaran tersebut berfokus pada mekanisme transfer token rsETH Kelp di berbagai jaringan blockchain. Beroperasi dengan arsitektur single-verifier berarti hanya satu otoritas yang perlu memvalidasi transfer lintas rantai. Menurut LayerZero, perusahaan telah secara eksplisit memperingatkan Kelp tentang konfigurasi ini dan mendesak adopsi beberapa sumber verifikasi independen.

Para peretas menyusup ke dua node remote procedure call—server khusus yang memungkinkan perangkat lunak berinteraksi dengan data blockchain. Node-node yang sah ini diganti dengan versi yang dikompromikan yang mengirimkan informasi palsu ke sistem verifikasi LayerZero sambil mempertahankan penampilan normal pada komponen infrastruktur lainnya.

Karena proses verifikasi LayerZero juga berkonsultasi dengan node eksternal yang sah, para penyerang meluncurkan kampanye distributed denial-of-service untuk menonaktifkan sistem tersebut. Taktik ini mengalihkan lalu lintas jaringan melalui infrastruktur yang dikompromikan selama jendela 80 menit dari pukul 10:20 pagi hingga 11:40 pagi Waktu Pasifik pada hari Sabtu.

Ketika mekanisme failover diaktifkan, node berbahaya mengirimkan konfirmasi transaksi yang sah ke verifier. Protokol bridge Kelp kemudian melepaskan 116.500 rsETH ke dompet para penyerang. Perangkat lunak berbahaya tersebut kemudian menghilangkan dirinya sendiri, menghapus semua bukti forensik dari server yang terpengaruh.

Dampak Berantai di Seluruh Ekosistem DeFi

Token rsETH yang dicuri digunakan sebagai jaminan di berbagai platform pinjaman, memungkinkan para penyerang menarik aset asli. Aave, platform pinjaman terdesentralisasi yang dominan, menyerap kerusakan paling substansial.

Aave mendapati dirinya memegang jaminan rsETH yang tidak likuid sementara aset berharga seperti ETH telah diekstraksi melalui mekanisme peminjaman. Token asli Aave anjlok sekitar 15% dalam periode 24 jam, sementara protokol mengalami penarikan sekitar $6 miliar karena peserta berebut untuk mengeluarkan dana mereka.

Tidak kurang dari sembilan aplikasi DeFi mengalami kerusakan, termasuk Fluid, Compound Finance, SparkLend, dan Euler. Perusahaan keamanan siber Cyvers mengkarakterisasi insiden tersebut sebagai "peristiwa penularan lintas protokol" yang jauh melampaui kerentanan platform tunggal.

Dengan keyakinan awal, LayerZero telah menghubungkan serangan ini dengan Lazarus Group Korea Utara, khususnya divisi TraderTraitor-nya. Organisasi yang sama ini terlibat dalam pelanggaran Drift Protocol senilai $285 juta pada 1 April, menunjukkan Lazarus telah mengekstrak lebih dari $575 juta dari keuangan terdesentralisasi dalam periode 18 hari menggunakan dua metodologi serangan yang berbeda.

Penyesuaian Protokol Keamanan

LayerZero melaporkan tidak ada bukti kerentanan menyebar ke aplikasi yang beroperasi dengan arsitektur multi-verifier. Perusahaan telah memulihkan layanan verifikasinya dan mengumumkan kebijakan permanen menolak memproses pesan untuk aplikasi apa pun yang menggunakan konfigurasi single-verifier.

Pendiri Curve Finance Michael Egorov menekankan bahwa pelanggaran ini menunjukkan risiko inheren mengandalkan sumber verifikasi transaksi tunggal. Dia juga memperingatkan agar tidak menggunakan infrastruktur lintas rantai kecuali secara operasional penting.

Kelp tetap diam mengenai versi peristiwa LayerZero dan belum mengatasi mengapa protokol terus beroperasi dengan arsitektur single-verifier meskipun menerima peringatan keamanan eksplisit.

Postingan $290M Kelp DAO Breach Tied to Lazarus Group and Weak Bridge Security pertama kali muncul di Blockonomi.