LayerZero × Kelp $290 juta skandal: Kedua belah pihak saling menyalahkan secara langsung Pada 18/4, seseorang mencuri $290 juta dari jembatan lintas rantai Kelp DAO, sekitar 30.766 ETH Bisnis Kelp adalah menukar ETH yang di-staking menjadi rsETH, yang kemudian digunakan sebagai jaminan oleh sembilan protokol seperti Aave untuk peminjaman Jadi, ketika jembatan bermasalah, terjadi rantai reaksi berantai - Aave kehilangan $6,6 miliar TVL dalam sekejap - Sembilan protokol mengalami kerugian buruk antara $124 juta hingga $230 juta - Komite keamanan Arbitrum @arbitrum menggunakan otoritas darurat untuk membekukan 30.766 ETH di alamat peretas, berhasil memulihkan sebagian besar dana Uang terbekukan, tapi saling menyalahkan masih berterbangan LayerZero @LayerZero_Core dalam laporan pasca-kejadian, langsung menandai tiga garis merah: 1️⃣ Peretas dikaitkan dengan TraderTraitor di bawah kelompok Lazarus Korea Utara, serangan tingkat negara tidak bisa dicegah siapa pun 2️⃣ Bukan kerentanan protokol, bukan kerentanan DVN, bukan masalah manajemen kunci—melainkan serangan ganda: RPC node di-injeksi racun + DDoS 3️⃣ Kelp sendiri memilih konfigurasi single validator 1-of-1; kami sudah menyarankan menggunakan multi-validator sejak dulu, agar Zero Contagion (tanpa penyebaran) pada aset lain Ketika empat kata “Zero Contagion” muncul, Chainlink Community Manager Zach Rynes @ChainLinkGod langsung menyerang: “Seperti yang diperkirakan, LayerZero sedang melempar tanggung jawab.” Komunitas peneliti keamanan segera menggali lebih dalam: kode Quickstart OApp V2 dan deployment GitHub yang dipublikasikan LayerZero secara default menggunakan 1 DVN wajib + 0 DVN opsional—pada dasarnya konfigurasi 1/1 Sore harinya, Kelp @KelpDAO membalas dengan nada yang jauh lebih dingin: 1️⃣ Konfigurasi 1-of-1 adalah default dari official quickstart LayerZero sendiri—bisa dilihat langsung di GitHub 2️⃣ Kami telah beroperasi sejak Januari 2024 hingga sekarang; selama 24 bulan komunikasi, Anda tidak pernah memberikan saran spesifik untuk mengubah konfigurasi DVN rsETH; bahkan saat ekspansi ke L2, Anda sendiri mengonfirmasi “konfigurasi default sudah sesuai” 3️⃣ Stack validator yang diserang “merupakan infrastruktur milik LayerZero sendiri”; Anda sendiri yang mengelola infrastruktur ini, lalu bagaimana bisa menyalahkan kami karena tidak mengawasi Anda? 4️⃣ Anda sama sekali tidak menyelaraskan narasi dengan kami sebelum merilis post-mortem—ini adalah pelemparan tanggung jawab sepihak Komunitas Tiongkok hampir secara serentak mendukung Kelp. Blue Fox @lanhubiji menyimpulkan dengan satu kalimat: “Yang terbantahkan bukan L2, tapi desain jembatan lintas rantai.” Setelah merilis post-mortem, LayerZero langsung mengumumkan: “Di masa depan, kami tidak akan lagi menandatangani konfigurasi single validator apa pun.” Ini setara dengan pengakuan implisit bahwa desain default bermasalah. Saat ini, 40% protokol di LayerZero menggunakan konfigurasi ini—baik mengakui bahwa desain default memberi lubang, atau mengakui bahwa 40% protokol ini berada dalam status berisiko tinggi; pilihan mana pun akan membuat mereka terjebak dalam posisi memalukan.