#LayerZeroCEOAdmitsProtocolFlaws

CEO LayerZero Mengakui Kegagalan Protokol Setelah $292M Peretasan — Tapi Kelp DAO Katakan "Anda Menyetujui Pengaturan yang Sekarang Anda Salahkan"
Selama berminggu-minggu, LayerZero menunjuk jari ke Kelp DAO atas eksploitasi sebesar 292 juta dolar yang mengguncang DeFi. "Mereka menggunakan konfigurasi verifikasi 1-dari-1 — kami memperingatkan terhadapnya." Itulah narasinya. Tapi sekarang, CEO LayerZero Bryan Pellegrino secara terbuka mengakui kekurangan tingkat protokol, berjanji melakukan perombakan keamanan. Dan Kelp DAO baru saja mengungkapkan bukti yang bisa membalik seluruh permainan menyalahkan ini.
Izinkan saya jelaskan mengapa ini penting untuk setiap jembatan lintas rantai yang pernah Anda percayai.
🔥 Pengakuan yang Mengubah Segalanya
Pada 4 Mei, Pellegrino memposting pernyataan publik yang mengakui kegagalan protokol LayerZero setelah eksploitasi Kelp DAO, berkomitmen untuk perombakan keamanan menyeluruh. Ini adalah perubahan signifikan dari laporan pasca-insiden LayerZero awal 20 April, yang menggambarkan serangan sepenuhnya sebagai kegagalan konfigurasi "tingkat aplikasi" oleh Kelp DAO — bukan masalah tingkat protokol.
Mengapa pergeseran ini? Karena bukti semakin tidak bisa diabaikan.
🔍 Tanggapan Menghancurkan dari Kelp DAO
Pada 5 Mei, Kelp DAO menerbitkan tanggapan rinci yang secara langsung bertentangan dengan klaim inti LayerZero. Berikut apa yang mereka ungkapkan:
1. LayerZero MENYETUJUI pengaturan verifikasi 1-dari-1 yang sekarang mereka salahkan, Kelp DAO membagikan tangkapan layar komunikasi pribadi dengan anggota tim LayerZero di mana seorang staf LayerZero secara eksplisit berkata: "Tidak masalah menggunakan default juga — saya tandai [redacted] di sini karena dia menyebutkan Anda mungkin ingin menggunakan pengaturan DVN kustom untuk memverifikasi pesan, tapi akan serahkan itu ke tim Anda!" "Default" yang dimaksud adalah konfigurasi DVN LayerZero Labs 1-dari-1 — pengaturan yang kemudian disebut LayerZero sebagai kerentanan kritis yang memungkinkan eksploitasi.
2. Konfigurasi "berbahaya" tersebut adalah default bawaan LayerZero yang disebut Kelp sebagai pilihan yang ekstrem dan tidak bertanggung jawab. Argumen Kelp: ini adalah konfigurasi default standar platform, digunakan oleh ratusan aplikasi lain di ekosistem. Jika sebagian besar integrasi LayerZero menggunakan 1-dari-1, menyebutnya sebagai "kesalahan pengguna" saat gagal adalah seperti menjual mobil tanpa kantung udara dan kemudian menyalahkan pengemudi karena tidak memasangnya setelah pembelian.
3. Infrastruktur LayerZero sendiri telah dikompromikan Serangan berhasil karena penyerang mengompromikan dua node RPC yang diandalkan verifier LayerZero dan melakukan DDoS pada yang lain. Infrastruktur DVN LayerZero — sistem yang dimaksudkan untuk memvalidasi pesan lintas rantai — telah diretas. Liaison komunitas Chainlink Zach Rynes langsung menyebutkan: "LayerZero mengalihkan tanggung jawab bahwa infrastruktur node DVN mereka sendiri telah dikompromikan dan menyebabkan eksploitasi $290M bridge."
4. Empat pertanyaan yang belum terjawab dari Kelp DAO Kelp mengajukan pertanyaan spesifik yang belum dijawab LayerZero secara publik: Bagaimana daftar endpoint RPC diakses? Bagaimana default terdokumentasi LayerZero cocok dengan jumlah besar konfigurasi 1-dari-1 di seluruh ekosistem? Mengapa pemantauan gagal mendeteksi kompromi infrastruktur? Berapa lama waktu node yang dikompromikan sebelum pesan palsu ditandatangani?
Ini bukan pertanyaan retoris — ini adalah tuntutan akuntabilitas yang pengakuan kekurangan protokol LayerZero sekarang semakin sulit diabaikan.
🧠 Pelajaran Sebenarnya: Risiko Kode vs. Risiko Operasional
Analisis keamanan OpenZeppelin menyoroti poin yang sering diabaikan orang: tidak ada bug dalam kontrak pintar Kelp DAO. Kode tersebut diaudit dan aman. Yang gagal adalah pengaturan operasional dan integrasi di sekitar infrastruktur jembatan — sesuatu yang berada di luar tinjauan dan audit kode tradisional.
Ini adalah perbedaan yang jarang dibicarakan industri. Anda bisa memiliki kontrak yang diaudit sempurna dan tetap kehilangan 292 juta dolar jika lapisan infrastruktur di bawahnya memiliki satu titik kegagalan. Model LayerZero bergantung pada Jaringan Verifier Terdesentralisasi (DVN) — tapi ketika konfigurasi default adalah 1-dari-1 (satu verifier = LayerZero Labs sendiri), "terdesentralisasi" menjadi kata pemasaran, bukan kenyataan keamanan. Satu node yang dikompromikan. Satu pesan palsu. 292 juta dolar hilang.
📊 Dampak Harga ZRO — Pasar Sedang Memberi Suara
ZRO diperdagangkan di harga $1.395, turun -5,1% dalam 24 jam dan -29,6% dalam 30 hari. Gambaran teknikal menunjukkan cerita yang jelas:
Rata-rata harian dalam tren bearish penuh (MA7 < MA30 < MA120) — tren penurunan berkelanjutan
PDI < MDI dengan ADX di 34,4 — momentum penurunan yang kuat
Berjalan -4,4% dibandingkan BTC hari ini — kinerja yang signifikan di bawah
Open interest futures turun -11,6% dalam 24 jam — posisi sedang dilikuidasi, bukan dibangun
TAPI: MACD harian baru saja membentuk crossover emas (DIF melintasi di atas DEA) dan CCI/WR 15-menit berada di wilayah oversold — potensi rebound jangka pendek ada
Pasar memperhitungkan kerusakan reputasi dan ketidakpastian. Pengakuan CEO LayerZero tentang kekurangan protokol adalah langkah menuju akuntabilitas, tetapi bukti dari Kelp DAO menimbulkan pertanyaan lebih keras: apakah ini pernah sekadar "kesalahan konfigurasi pengguna," atau apakah desain default protokol secara fundamental tidak aman sejak awal?
⚡ Apa Artinya Ini untuk Infrastruktur Lintas Rantai
1. Default lebih penting daripada dokumentasi. Jika sebuah protokol mengirimkan verifier 1-dari-1 sebagai default, itu bukan rekomendasi — itu tingkat keamanan yang sebenarnya ditawarkan. Dokumentasi yang mengatakan "Anda harus mengonfigurasi multi-verifier" tidak melindungi pengguna yang mengikuti default yang didokumentasikan. Keamanan nyata dari sebuah sistem ditentukan oleh apa yang paling banyak digunakan pengguna, bukan apa yang tertulis di dokumen.
2. Risiko infrastruktur tidak terlihat sampai meledak. Audit kontrak pintar menangkap bug kode. Mereka tidak menangkap node RPC yang dikompromikan, validator yang DDoS, atau titik kepercayaan tunggal di lapisan pesan. Eksploitasi DeFi besar berikutnya mungkin tidak berasal dari kerentanan kontrak — melainkan dari infrastruktur operasional yang bergantung pada kontrak tapi tidak bisa dikendalikan.
3. Akuntabilitas tidak bisa bersifat retroaktif. Pengakuan CEO LayerZero disambut baik, tapi datang setelah berminggu-minggu mengalihkan kesalahan ke Kelp DAO. Jika pengakuan itu datang pada 20 April bersamaan dengan laporan pasca-insiden — bukan narasi "Kelp mengonfigurasi salah" — respons komunitas akan sangat berbeda. Kepercayaan dibangun dalam 48 jam pertama setelah krisis, bukan di minggu ketiga.
4. Migrasi Kelp DAO ke Chainlink CCIP adalah suara pasar. Kelp mengumumkan akan memigrasi rsETH dari standar OFT LayerZero ke Cross-Chain Interoperability Protocol dari Chainlink. Ketika mitra integrasi terbesar Anda meninggalkan protokol Anda setelah eksploitasi, itu bukan sekadar keputusan bisnis — itu adalah verdict keamanan dari seseorang yang menguji sistem Anda di kondisi nyata dan menemukan tidak cukup aman.
💡 Intinya
Pengakuan CEO LayerZero tentang kekurangan protokol adalah langkah yang diperlukan — tapi ini hanya langkah pertama. Ujian sebenarnya adalah apakah LayerZero bisa menjawab empat pertanyaan Kelp DAO secara terbuka, merombak konfigurasi keamanan default-nya, dan membangun kembali kepercayaan dengan para integrator yang kini mempertanyakan arti "verifier terdesentralisasi" ketika default-nya satu perusahaan yang memverifikasi semuanya.
$292 juta hilang. Tidak ada bug dalam kontrak. Kerentanannya bukan di kode — tapi di model kepercayaan. Dan setiap jembatan lintas rantai yang menggunakan arsitektur serupa harus bertanya pada diri mereka sendiri pertanyaan yang sama sekarang.
Haruskah pencipta protokol bertanggung jawab atas default yang tidak aman, atau selalu menjadi tanggung jawab pengguna untuk mengonfigurasi di luar apa yang dikirimkan? Perdebatan ini bisa merombak cara setiap protokol jembatan merancang arsitektur keamanannya — tulis posisi Anda di bawah 👇
‍@Gate_Square
‍$ZRO $ETH