LayerZero × Kelp $290 juta Skandal: Langsung dari Tempat Kedua Belah Pihak Salah Menyalahkan Pada 18/4, seseorang mencuri $290 juta dari jembatan lintas rantai Kelp DAO, sekitar 30,766 ETH Perdagangan Kelp adalah menukar ETH yang di-staking menjadi rsETH, dan rsETH kemudian digunakan sebagai jaminan oleh sembilan protokol seperti Aave untuk peminjaman Jadi, ketika jembatan bermasalah, seluruh sistem meledak berantakan - Aave kehilangan $6.6 bilion TVL secara instan - Sembilan protokol mengalami kerugian buruk antara $124 juta hingga $230 juta - Komite Keselamatan Arbitrum @arbitrum menggunakan wewenang darurat untuk membekukan 30,766 ETH di alamat peretas, hanya untuk memulihkan sebagian besar dana Uang terbekukan, tetapi tuduhan masih beterbangan LayerZero @LayerZero_Core dalam laporan pasca-kejadian, langsung menandai tiga garis merah: 1️⃣ Peretas dikaitkan dengan TraderTraitor di bawah kelompok Lazarus Korea Utara—serangan tingkat negara tidak bisa dicegah siapa pun 2️⃣ Bukan kerentanan protokol, bukan kerentanan DVN, bukan masalah manajemen kunci, tetapi serangan ganda: node RPC bawah ditoksinasi + DDoS 3️⃣ Kelp sendiri memilih konfigurasi 1-dari-1 validator tunggal; kami sudah menyarankan sebelumnya untuk menggunakan banyak validator, agar aset lain menghindari Zero Contagion (penularan nol) Ketika empat kata “Zero Contagion” muncul, Zach Rynes @ChainLinkGod, manajer komunitas Chainlink, langsung menyerang: “Seperti yang diperkirakan, LayerZero sedang melepaskan tanggung jawab.” Kelompok peneliti keamanan segera menggali lebih dalam: kode Quickstart OApp V2 dan kode deploy GitHub yang dipublikasikan LayerZero secara default menggunakan 1 DVN wajib + 0 DVN opsional—pada dasarnya konfigurasi 1/1 Sore harinya, Kelp @KelpDAO membalas dengan nada yang jauh lebih dingin: 1️⃣ Konfigurasi 1-of-1 adalah default dari quickstart resmi LayerZero—bisa dilihat langsung di GitHub 2️⃣ Kami telah beroperasi sejak Januari 2024 hingga sekarang; dalam 24 bulan komunikasi, Anda tidak pernah memberikan saran spesifik untuk mengubah konfigurasi DVN rsETH; bahkan saat ekspansi L2, Anda sendiri mengonfirmasi “konfigurasi default sudah sesuai” 3️⃣ Stack validator yang diserang “merupakan infrastruktur milik LayerZero sendiri”; Anda sendiri yang mengelola infrastruktur ini, lalu bagaimana bisa menyalahkan kami karena tidak mengawasi Anda? 4️⃣ Anda sama sekali tidak menyelaraskan narasi dengan kami sebelum merilis post-mortem—ini adalah pelepasan tanggung jawab sepihak Komunitas Tiongkok hampir secara serentak mendukung Kelp. Blue Fox @lanhubiji menyimpulkan satu kalimat yang mengangkat perdebatan ke tingkat lebih tinggi: “Yang terbantahkan bukan L2, tetapi desain jembatan lintas rantai.” Setelah merilis post-mortem, LayerZero langsung mengumumkan: “Di masa depan, kami tidak akan lagi menandatangani konfigurasi validator tunggal apa pun.” Ini setara dengan pengakuan implisit bahwa desain default bermasalah. Saat ini, 40% protokol di LayerZero menggunakan konfigurasi ini—maka mereka harus memilih: mengakui bahwa desain default memberi mereka lubang, atau mengakui bahwa 40% protokol ini berada dalam kondisi berisiko tinggi—pilihan mana pun akan membuat mereka malu.