Kelp DAO mengatakan pengaturan validator tunggal "default" LayerZero membantu memungkinkan peretasan jembatan rsETH senilai $290 juta, memaksa permainan saling menyalahkan yang kacau dan migrasi keamanan yang terburu-buru.

Kelp DAO telah menolak penjelasan resmi LayerZero tentang eksploitasi jembatan senilai $290 juta, dengan berargumen bahwa pengaturan "validator tunggal" yang memungkinkan penyerang membawa pergi 116.500 rsETH bukanlah kustomisasi yang sembrono tetapi konfigurasi default dalam pedoman LayerZero sendiri.

Protokol re-staking likuiditas mengatakan kepada CoinDesk bahwa Decentralized Verifier Network (DVN) 1-dari-1 yang digunakan pada rute lintas rantai rsETH-nya "mengikuti default terdokumentasi LayerZero" dan bahwa tumpukan validator yang disusupi oleh penyerang "adalah bagian dari infrastruktur LayerZero sendiri," bukan pihak ketiga yang tidak terverifikasi.

Serangan yang terjadi pada 18 April tersebut mencetak atau melepaskan 116.500 rsETH ke alamat yang dikendalikan penyerang — sekitar 18% dari pasokan token — dan mengakibatkan kerugian sekitar $290–$293 juta pada saat itu, menjadikannya eksploitasi DeFi terbesar tahun 2026 sejauh ini.

Permainan saling menyalahkan validator tunggal setelah eksploitasi rsETH

Dalam laporan investigasi dan pernyataan lanjutannya, LayerZero menegaskan bahwa "protokol LayerZero tidak rusak," malah berargumen bahwa Kelp DAO "menerapkan DVN titik kegagalan tunggal dalam produksi" untuk token dengan nilai total terkunci lebih dari $1 miliar.

Perusahaan interoperabilitas tersebut mengatakan "mengoperasikan konfigurasi titik kegagalan tunggal berarti tidak ada verifier independen untuk menangkap dan menolak pesan palsu" dan mengklaim telah sebelumnya mengomunikasikan "praktik terbaik seputar diversifikasi DVN" kepada Kelp DAO dan mitra lainnya.

Peneliti keamanan dan auditor, termasuk salah satu pendiri SlowMist Yu Xian, telah mengkonfirmasi bahwa rute jembatan rsETH menggunakan DVN 1/1 — secara efektif satu tanda tangan — bukan tumpukan DVN 2/2 atau multi-DVN, menyebutnya sebagai kerentanan "titik tunggal tanda tangan tunggal" yang mungkin dibantu oleh rekayasa sosial.

Analisis terperinci dari situs pelacakan DeFi, DeFiPrime, mencatat bahwa model OApp LayerZero memungkinkan aplikasi memilih berapa banyak DVN yang harus menyetujui sebuah pesan, dengan konfigurasi 2-dari-3 atau 3-dari-5 umumnya direkomendasikan untuk penerapan bernilai tinggi, tetapi mengatakan adapter Kelp "dikonfigurasi untuk menerima pengesahan dari satu verifier" yang dijalankan oleh LayerZero Labs.

Desain tersebut berarti "satu tanda tangan palsu sudah cukup untuk membuat pesan lintas rantai apa pun terlihat nyata," memungkinkan penyerang memberi jembatan instruksi palsu yang meniru pesan valid dari rantai lain dan memicu pelepasan 116.500 rsETH "dari udara tipis" ke dompet mereka.

Tim Kelp DAO membantah bahwa mereka mengimplementasikan kode publik dan default LayerZero sendiri di berbagai jaringan dan bahwa DVN yang dieksploitasi "dioperasikan oleh LayerZero sendiri," mengisyaratkan bahwa tanggung jawab setidaknya sebagian berada pada penyedia infrastruktur daripada hanya pada aplikasi.

LayerZero sekarang telah mengambil langkah yang tidak biasa dengan berjanji akan "berhenti menandatangani pesan untuk aplikasi apa pun yang menggunakan pengaturan validator tunggal" dan memaksa "migrasi keamanan" yang akan mengharuskan semua OApps untuk beralih ke arsitektur multi-DVN jika mereka ingin terus menggunakan protokol tersebut.

Dampaknya jauh melampaui satu token re-staking.

Seperti dilaporkan crypto.news dalam cerita sebelumnya tentang eksploitasi rsETH dan atribusi LayerZero atas serangan tersebut kepada Lazarus Group Korea Utara, insiden tersebut telah menyalakan kembali perdebatan yang lebih luas tentang desain jembatan, konfigurasi default dan siapa yang pada akhirnya bertanggung jawab ketika infrastruktur lintas rantai modular bermasalah.

Cerita terkait crypto.news yang dapat Anda tautkan dalam salinan termasuk liputan tentang eksploitasi Kelp DAO–LayerZero dan atribusi Lazarus, analisis peretasan jembatan lintas rantai sebelumnya, dan pelaporan tentang bagaimana protokol re-staking dan liquid-staking memusatkan risiko kontrak pintar di berbagai rantai.