Penulis: Gu Yu, ChainCatcher
Setelah lebih dari 40 jam dicuri, dampak berantai yang disebabkan oleh Kelp DAO masih terus berkembang, tidak hanya menarik semakin banyak proyek terkenal seperti Aave, LayerZero, dan Arbitrum, bahkan mencapai titik di mana beberapa narasi populer mengalami hukuman mati.
KOL terkenal Feng Wu Xiang menyatakan di platform X bahwa hanya ETH yang aman, ARB juga telah mengotorisasi pembekuan transfer aset klien. Seharusnya tidak ada satu pun L2 yang benar-benar L2. L2 lahir dari Arbitrum, dan juga mati karena Arbitrum.
KOL terkenal lainnya, Lanhu, menyatakan bahwa pihak yang mengalami kerugian terbesar dalam kecelakaan kelp ini bukan Aave, bukan pula Kelp, melainkan Layerzero, hanya saja terlalu sempit pandangannya sehingga tidak mampu melihat esensi sebenarnya dari seluruh peristiwa ini. Esensi peristiwa ini bukanlah membantah L2 (jika L2 palsu, itu sudah biasa), melainkan membantah jembatan lintas rantai.
Semakin banyak pandangan tajam muncul di ruang publik, pihak-pihak terkait dalam insiden ini saling berselisih dan saling menyalahkan, menjadikan insiden pencurian Kelp DAO sebagai jendela khas untuk mengamati pembagian tanggung jawab atas keamanan, konflik antara pragmatisme dan teknis fundamentalisme.
Satu, L0 Dibantah? Jembatan Antar-Rantai Menjadi Pecundang Terbesar
Titik kunci insiden adalah laporan rinci serangan peretas yang dirilis oleh LayerZero kemarin, yang awalnya menilai pelaku sebagai Lazarus Group dengan latar belakang Korea Utara. Serangan dilakukan dengan meracuni infrastruktur RPC hulu yang menjadi dasar jaringan verifikasi terdesentralisasi (DVN) mereka, di mana pelaku mengendalikan sebagian node RPC dan menggabungkannya dengan serangan DDoS untuk mendorong sistem beralih ke node jahat, sehingga memalsukan transaksi lintas rantai.
“Menggunakan node yang disusupi untuk melakukan serangan pencemaran terhadap infrastruktur RPC, dikombinasikan dengan serangan DDoS terhadap RPC yang tidak terdampak untuk memaksa failover, adalah metode yang sangat kompleks. Ini pada dasarnya adalah perang infrastruktur,” kata Samuel Tse, Direktur Investasi dan Kerja Sama Animoca Brands.
Di akhir laporan, LayerZero menyatakan bahwa protokol berjalan sepenuhnya sesuai harapan selama seluruh insiden. Tidak ditemukan kerentanan apa pun dalam protokol. Fitur inti dari arsitektur LayerZero adalah keamanan modular, dan dalam kasus ini, fitur tersebut berhasil mencapai tujuannya dengan sempurna, mengisolasi seluruh serangan ke dalam satu aplikasi saja—sistem secara keseluruhan tidak memiliki risiko penularan, dan OFT atau OApp lainnya juga tidak terdampak.
Penghapusan total tanggung jawab terhadap diri sendiri ini menjadi pemicu reaksi publik yang besar, dengan banyak tokoh terkemuka di industri yang tidak puas dengan kinerja LayerZero dalam peristiwa ini.
“L0 membersihkan tangan mereka sepenuhnya, seluruh artikel menyalahkan kesalahan konfigurasi KelpDAO, sementara mereka sendiri tidak memiliki sedikit pun kesalahan. Luar biasa. Pertanyaannya, mengapa konfigurasi 1/1 diizinkan ada? Mengapa daftar RPC internal bisa diakses oleh penyerang? Mengapa logika failover langsung mempercayai RPC yang terkontaminasi setelah DDoS, tanpa langsung menghentikan verifikasi, atau bahkan melakukan sedikit saja tindakan?” tanya peneliti industri terkenal CM.
"Sikap sengaja menghindar ini membuat saya tidak nyaman. Pernyataan tersebut jelas menyatakan 'protokol berjalan sepenuhnya sesuai harapan'. Serangan digambarkan sebagai kompromi pada node RPC dan racun RPC. Namun, racun RPC bukanlah hal seperti itu; infrastruktur mereka sendiri telah disusupi dan dirusak. Mengingat pernyataan tersebut tidak menjelaskan bagaimana penyusupan terjadi, saya tidak akan segera mengaktifkan kembali jembatan itu," kata pengembang DeFi terkenal banteg.
Kelp DAO secara resmi juga menyatakan bahwa konfigurasi single validator (1/1) yang menyebabkan serangan ini bukanlah pilihan yang mengabaikan rekomendasi, melainkan pengaturan default dalam panduan resmi LayerZero, dan jaringan validator yang dieksploitasi oleh penyerang adalah infrastruktur milik LayerZero sendiri.
Menurut analisis Dune, dari 2.665 kontrak OApp berbasis LayerZero, 47% menggunakan konfigurasi 1/1 DVN, yaitu mekanisme verifikasi tunggal, yang secara signifikan memperbesar risiko industri.
Yang lebih menakutkan daripada munculnya masalah adalah pihak yang tidak mengakui kesalahan dan menghindarinya. LayerZero, sebagai pemain utama dalam komunikasi lintas rantai dan narasi Layer0, digunakan oleh ratusan proyek kripto untuk menghubungkan token dan aset di berbagai rantai; jika terus mempertahankan sikap sombong, hal ini pasti akan semakin merusak kepercayaan industri terhadapnya.
Opini umum berpendapat bahwa LayerZero, meskipun tidak langsung diretas, mengalami kerusakan reputasi terbesar—ia harus membayar harga atas “mengizinkan konfigurasi lemah”, jika tidak, narasi lintas rantai akan runtuh.
Artinya, LayerZero tidak hanya perlu mengusulkan langkah-langkah perbaikan teknis yang jelas, tetapi juga harus menanggung lebih banyak tanggung jawab dalam skema kompensasi aset.
Dua, Layer2 Sudah Mati? Pembekuan Luar Biasa Arbitrum
Diskusi mengenai Layer2 berasal dari tindakan pembekuan Arbitrum. Hari ini siang, Komite Keamanan Arbitrum mengumumkan bahwa mereka telah mengambil tindakan darurat untuk menyelamatkan 30.766 ETH yang disimpan oleh peretas di alamat Arbitrum One, dengan nilai saat ini sebesar 71 juta dolar AS.
Arbitrum juga menyatakan bahwa, setelah melakukan penyelidikan teknis dan tinjauan yang luas, komite keamanan telah menentukan dan melaksanakan solusi teknis untuk memindahkan dana ke lokasi yang aman tanpa memengaruhi status rantai lain atau pengguna Arbitrum. Alamat asli yang memegang dana tersebut kini tidak dapat diakses, dan hanya otoritas Arbitrum yang dapat mengambil tindakan lebih lanjut untuk memindahkan dana tersebut, tindakan ini akan dilakukan secara terkoordinasi dengan pihak terkait.
Menurut interpretasi para ahli industri, komite keamanan Arbitrum menggunakan jenis transaksi override status istimewa (yang merupakan bagian dari ArbOS, tetapi hampir tidak pernah digunakan), sehingga kunci pribadi penyerang masih dapat menandatangani transaksi, tetapi ETH dari alamat tersebut dipindahkan oleh rantai itu sendiri.
Jenis perdagangan khusus ini sama sekali melewati kunci pribadi penyerang, dan hanya rantai itu sendiri (melalui jalur pembaruan sequencer / ArbOS yang dikendalikan oleh Komite Keamanan Arbitrum) yang dapat menyuntikkan.
Diketahui bahwa Komite Keamanan Arbitrum terdiri dari 12 individu yang dipilih oleh Arbitrum DAO, dan setiap keputusan memerlukan persetujuan dari 9/12 orang.
Satu batu menghasilkan ribuan gelombang. Sebelumnya, pihak luar menganggap Arbitrum, sebagai Layer2 yang representatif, tidak memiliki kemampuan atau wewenang untuk menangani aset ETH pengguna, mengingat hal ini bertentangan dengan semangat desentralisasi blockchain.
Dalam insiden peretasan sebelumnya, USDT dan USDC yang dicuri seringkali dapat langsung dibekukan oleh Tether dan Circle untuk mengurangi kerugian pengguna. ETH sebagai aset asli rantai belum pernah dibekukan atau dipindahkan oleh rantai itu sendiri, dan hal ini berada di luar ekspektasi sebagian besar pengguna.
Banyak pandangan yang mendukung pendekatan Arbitrum, misalnya, “Semua perusahaan, bank, dan lembaga keuangan resmi pada akhirnya akan mengadopsi arsitektur sekunder. Beroperasi seperti entitas terpusat pada saat kritis bukanlah kelemahan, melainkan keunggulan.” Namun, hal ini tidak berlaku bagi lebih banyak teknophile.
Tanpa kunci pribadi, tanpa otorisasi, transfer langsung. Dalam banyak pandangan, operasi Arbitrum ini dianggap mendefinisikan ulang tingkat desentralisasi Layer2, sehingga membuat mereka merasa tidak aman di Layer2.
Blue Fox secara langsung menyatakan bahwa insiden ini telah secara langsung menyentuh garis merah ideologi inti DeFi: "Not Your keys, not your coins". Insiden ini kembali menghadapkan tantangan klasik kripto: keamanan pragmatis versus keamanan sepenuhnya terdesentralisasi.
Penutup
Ketika LayerZero mengatakan "protokol berjalan sesuai ekspektasi," ia mempertahankan kebenaran teknis tetapi kehilangan opini publik dan kepercayaan; ketika Arbitrum mentransfer 71 juta dolar AS ETH melalui transaksi istimewa, ia menyelamatkan dana pengguna tetapi merusak narasi desentralisasi Layer2.
Kepanikan pencurian Kelp membawa dua narasi paling populer ke meja pengadilan: apakah jembatan lintas rantai merupakan infrastruktur atau penguat risiko? Apakah Layer2 benar-benar ekspansi andal Ethereum, atau hanya bank tingkat dua yang menyamar sebagai desentralisasi?
LayerZero karena mekanisme simpul verifikasi tunggal berhasil diserang, Arbitrum menggunakan mekanisme voting khusus terpusat untuk memulihkan kerugian LayerZero dan Kelp DAO. Ini membentuk lingkaran tertutup yang sangat ironis: sebuah protokol yang mengklaim dirinya desentralisasi, runtuh karena "kerentanan titik tunggal"; akhirnya harus bergantung pada "privilese terpusat" protokol lain untuk menyelesaikannya.
Ini memaksa seluruh industri menghadapi pertanyaan yang belum pernah dijawab secara langsung: ketika idealisme desentralisasi bertabrakan dengan biaya keamanan nyata, sisi mana yang bersedia kita korbankan?
Diskusi tentang narasi besar menjadi fokus opini publik, sementara skema kompensasi pengguna adalah fokus opini publik yang lain. Meskipun Arbitrum telah mengembalikan lebih dari $70 juta melalui langkah teknis, Aave masih memiliki piutang macet senilai hampir $2 miliar—bagaimana kepentingan pengguna dapat dilindungi dan dijamin secara layak?
Dalam sebagian besar insiden peretasan, kerugian senilai jutaan dolar merupakan bencana bagi protokol, dan penggantian kerugian pengguna biasanya berakhir tanpa hasil. Namun, insiden kali ini melibatkan proyek-proyek unggulan seperti Aave dan Layerzero, sehingga solusi penanganan kredit macetnya menjadi sorotan utama.
Aave hari ini mengusulkan dua kemungkinan solusi penanganan pinjaman macet: yang pertama adalah mendistribusikan kerugian secara merata di antara semua pemegang rsETH (dibebankan secara lintas rantai), dengan Kelp DAO melakukan penurunan nilai seragam terhadap semua rsETH (mainnet + L2) sekitar 15% terhadap pegangan; yang kedua adalah hanya membebankan seluruh kerugian kepada pemegang rsETH di L2, sementara rsETH di mainnet mempertahankan nilai aslinya.
Namun, Kelp DAO dan LayerZero resmi belum membahas peran mereka dalam skema kompensasi. Dari sikap LayerZero dalam laporan tersebut yang berusaha melepaskan tanggung jawab, jelas bahwa proyek ini menganggap tanpa tanggung jawab, tidak ada kewajiban untuk memberikan kompensasi.
Namun, protokol yang memiliki valuasi puluhan miliar dolar dan dianggap sebagai ketergantungan dasar oleh ratusan proyek, memilih untuk "melepaskan tanggung jawab teknis" ketika menghadapi kerugian besar akibat konfigurasi default DVN, yang pada dasarnya merupakan ironi besar terhadap definisi "infrastruktur dasar".
Ini adalah dilema tawanan klasik, di mana pihak-pihak yang berada dalam krisis berusaha meminimalkan kerugian mereka sendiri melalui “pemotongan kepentingan”, bukan dengan membagi tanggung jawab untuk memperbaiki defisit kepercayaan di industri ini.
Dari dampak negatif peristiwa ini terhadap berbagai pihak di industri, bagi bidang DeFi, ini akan menjadi dilema tahanan paling berbahaya sepanjang sejarah.