Kelp DAO secara terbuka membantah laporan yang mengkarakterisasi insiden bridge rsETH sebagai eksploitasi, dengan berargumen bahwa pengaturan default LayerZero, bukan serangan yang disengaja, bertanggung jawab atas kerugian yang dilaporkan sebesar $290 juta. Perselisihan ini mengubah framing insiden 18 April dari eksploitasi eksternal menjadi kegagalan konfigurasi infrastruktur.
Apa yang diklaim oleh laporan serangan bridge rsETH
Apa yang dilaporkan hilang
Penilaian keamanan yang dipublikasikan oleh CredShields menggambarkan insiden bridge rsETH sebagai eksploitasi yang melibatkan infrastruktur bridge lintas-rantai Kelp DAO, dengan menyebutkan kerugian sekitar $290 juta. Laporan tersebut menggunakan bahasa yang konsisten dengan serangan eksternal yang disengaja.
Mengapa insiden tersebut digambarkan sebagai serangan bridge
Laporan CredShields membingkai peristiwa tersebut menggunakan terminologi eksploitasi, menyiratkan pelaku ancaman mengidentifikasi dan memanfaatkan kerentanan dalam mekanisme bridge. Karakterisasi ini menempatkan insiden tersebut bersama peretasan bridge DeFi profil tinggi lainnya daripada memperlakukannya sebagai kegagalan operasional.
Namun, kata-kata dalam judul itu sendiri menandakan karakterisasi yang diperdebatkan. Tanggapan Kelp DAO, yang didokumentasikan dalam thread tata kelola Aave, menantang interpretasi eksploitasi-pertama secara langsung.
Mengapa Kelp DAO membantah narasi serangan
Bantahan utama Kelp DAO
Posisi kontra Kelp DAO, yang dipresentasikan dalam diskusi tata kelola Aave, menolak label serangan sepenuhnya. Protokol tersebut mempertahankan bahwa kerugian dihasilkan dari bagaimana default pesan lintas-rantai LayerZero dikonfigurasi, bukan dari musuh yang menemukan jalur eksploitasi baru.
Ini bukan perbedaan semantik kecil. Mengklasifikasikan insiden sebagai serangan menyiratkan kelalaian keamanan dalam mempertahankan diri terhadap ancaman eksternal. Mengklasifikasikannya sebagai kegagalan konfigurasi mengalihkan tanggung jawab ke arah default infrastruktur dan pilihan integrasi.
Bagian mana dari laporan yang diperdebatkan
Kelp DAO mempertentangkan baik mekanisme kausalitas maupun narasi yang tersirat. Protokol tidak membantah bahwa kerugian terjadi, tetapi membantah karakterisasi CredShields tentang bagaimana dan mengapa kerugian tersebut terjadi.
Konfliknya spesifik: laporan CredShields menetapkan kausalitas pada vektor eksploitasi, sementara bantahan tata kelola Kelp DAO menetapkan kausalitas pada parameter default LayerZero yang tidak memadai untuk nilai yang diamankan.
Bagaimana pengaturan default LayerZero menjadi titik fokus
Peran pengaturan default dalam versi peristiwa Kelp DAO
Menurut akun Kelp DAO dalam thread tata kelola, pengaturan default LayerZero untuk verifikasi pesan lintas-rantai tidak memiliki jaminan keamanan yang diperlukan untuk aset bridge bernilai tinggi. Protokol berargumen bahwa default pabrik ini menciptakan kondisi untuk kerugian tanpa memerlukan eksploitasi yang canggih.
Pengaturan default dalam pesan lintas-rantai menentukan bagaimana transaksi divalidasi di seluruh jaringan. Jika dibiarkan tidak berubah, mereka dapat menerapkan ambang verifikasi yang sama untuk transfer $100 dan transfer $100 juta, menciptakan risiko proporsional dengan nilai tanpa keamanan proporsional.
Mengapa masalah konfigurasi berbeda dari klaim serangan
Jika framing Kelp DAO bertahan, insiden tersebut menjadi pertanyaan tanggung jawab bersama antara protokol yang dibangun di atas infrastruktur lintas-rantai dan lapisan pesan yang mereka andalkan. Ini secara fundamental berbeda dari skenario di mana penyerang eksternal menemukan kerentanan zero-day.
Laporan terpisah yang mencatat pengakuan LayerZero tentang Lazarus Group sebagai aktor yang mungkin terlibat dalam insiden lintas-rantai terkait menambah kompleksitas. Keberadaan pelaku ancaman tingkat negara yang menargetkan infrastruktur bridge tidak secara otomatis memvalidasi baik framing eksploitasi maupun konfigurasi untuk insiden spesifik ini.
Apa arti kerugian $290 juta bagi rsETH dan risiko DeFi
Mengapa angka $290 juta penting
Kerugian yang dilaporkan menempatkan ini di antara insiden DeFi terbesar di tahun 2026. Untuk pemegang rsETH dan protokol dengan eksposur rsETH, penentuan akar penyebab secara langsung mempengaruhi ekspektasi pemulihan, klaim asuransi, dan kepercayaan pada aset ke depannya.
Diskusi tata kelola Aave mencerminkan bagaimana protokol hilir menilai kembali eksposur terhadap token restaking likuid. Ketika insiden bridge dalam skala ini terjadi, pihak lawan harus mengevaluasi apakah infrastruktur aset yang mendasarinya memenuhi standar risiko mereka, kekhawatiran yang mirip dengan yang diangkat ketika institusi memegang posisi ETH signifikan di seluruh pengaturan kustodian yang kompleks.
Pertanyaan yang akan diajukan oleh pemegang rsETH dan pihak lawan selanjutnya
Perselisihan klasifikasi memiliki konsekuensi praktis. Jika insiden tersebut ditetapkan sebagai kegagalan konfigurasi, tanggung jawab mungkin sebagian jatuh pada LayerZero untuk default yang tidak memadai dan sebagian pada Kelp DAO karena tidak menimpanya. Jika ditetapkan sebagai eksploitasi, Kelp DAO menghadapi pengawasan yang lebih tajam atas desain keamanan bridge.
Proyek yang membangun fungsi lintas-rantai, termasuk yang mengejar pendanaan baru untuk pengembangan infrastruktur, akan menghadapi pertanyaan yang lebih sulit tentang konfigurasi lapisan pesan mereka. Insiden tersebut menyoroti kesenjangan dalam standar keamanan DeFi: tidak ada persyaratan di seluruh industri saat ini yang mewajibkan protokol menimpa pengaturan bridge default sebelum diluncurkan dengan dana pengguna.
Untuk protokol yang peduli dengan tata kelola yang bertanggung jawab dan transparansi, perselisihan tersebut menggarisbawahi bahwa klasifikasi insiden tidak hanya akademis. Ini menentukan siapa yang membayar, siapa yang membangun kembali kepercayaan, dan apa yang berubah dalam cara infrastruktur lintas-rantai digunakan.
FAQ tentang insiden Kelp DAO dan rsETH
Apakah Kelp DAO mengonfirmasi serangan bridge rsETH?
Tidak. Kelp DAO secara eksplisit membantah karakterisasi "serangan" dalam thread tata kelola Aave, dengan berargumen bahwa kerugian dihasilkan dari pengaturan konfigurasi default LayerZero daripada eksploitasi yang disengaja oleh penyerang eksternal.
Apa yang disalahkan Kelp DAO untuk kerugian $290 juta?
Kelp DAO menunjuk pada pengaturan default LayerZero untuk verifikasi pesan lintas-rantai, mengklaim bahwa default ini tidak memadai untuk mengamankan nilai yang transit melalui bridge.
Mengapa pengaturan default LayerZero menjadi pusat perselisihan?
Pengaturan default menentukan bagaimana pesan lintas-rantai divalidasi. Kelp DAO berargumen bahwa default yang tidak diubah menciptakan kesenjangan keamanan yang menyebabkan kerugian, menjadikannya masalah tanggung jawab konfigurasi daripada eksploitasi baru.
Apakah ini dibingkai sebagai peretasan atau masalah konfigurasi?
Kedua framing ada dalam catatan publik. Laporan CredShields menggunakan bahasa eksploitasi, sementara bantahan tata kelola Kelp DAO mengaitkan kerugian dengan pengaturan default. Klasifikasi tetap diperdebatkan hingga April 2026.
Penafian: Artikel ini hanya untuk tujuan informasi dan bukan merupakan nasihat keuangan atau investasi. Pasar cryptocurrency dan aset digital membawa risiko yang signifikan. Selalu lakukan riset Anda sendiri sebelum membuat keputusan.
Sumber: https://coincu.com/defi/kelp-dao-rseth-bridge-attack-report-layerzero-290m-loss/
