Kurang dari tiga minggu setelah peretas terkait Korea Utara menggunakan rekayasa sosial untuk menyerang perusahaan perdagangan kripto Drift, peretas yang terkait dengan negara tersebut tampaknya telah melakukan eksploitasi besar lainnya terhadap Kelp.
Serangan terhadap Kelp, protokol restaking yang terhubung ke infrastruktur cross-chain LayerZero, menunjukkan evolusi dalam cara peretas terkait Korea Utara beroperasi, tidak hanya mencari bug atau kredensial yang dicuri, tetapi mengeksploitasi asumsi dasar yang dibangun ke dalam sistem terdesentralisasi.
Secara keseluruhan, kedua insiden ini menunjukkan sesuatu yang lebih terorganisir daripada serangkaian peretasan satu kali, karena Korea Utara terus meningkatkan upayanya untuk membajak dana dari sektor kripto.
"Ini bukan serangkaian insiden; ini adalah irama," kata Alexander Urbelis, chief information security officer dan general counsel di ENS Labs. "Anda tidak dapat memperbaiki jalan keluar dari jadwal pengadaan."
Lebih dari $500 juta disedot melalui eksploitasi Drift dan Kelp hanya dalam waktu lebih dari dua minggu.
Bagaimana Kelp diretas
Pada intinya, eksploitasi Kelp tidak melibatkan pemecahan enkripsi atau peretasan kunci. Sistem sebenarnya bekerja sesuai dengan desainnya. Sebaliknya, penyerang memanipulasi data yang masuk ke dalam sistem dan memaksanya untuk mengandalkan input yang dikompromikan tersebut, menyebabkannya menyetujui transaksi yang sebenarnya tidak pernah terjadi.
"Kegagalan keamanan ini sederhana: kebohongan yang ditandatangani tetaplah kebohongan," kata Urbelis. "Tanda tangan menjamin kepengarangan; mereka tidak menjamin kebenaran."
Dengan kata yang lebih sederhana, sistem memeriksa siapa yang mengirim pesan, bukan apakah pesan itu sendiri benar. Bagi para ahli keamanan, ini membuat hal ini lebih sedikit tentang peretasan baru yang pintar dan lebih banyak tentang mengeksploitasi bagaimana sistem diatur.
"Serangan ini bukan tentang memecahkan kriptografi," kata David Schwed, COO perusahaan keamanan blockchain SVRN. "Ini tentang mengeksploitasi bagaimana sistem diatur."
Satu masalah utama adalah pilihan konfigurasi. Kelp mengandalkan satu verifier, pada dasarnya satu pemeriksa, untuk menyetujui pesan cross-chain. Itu karena lebih cepat dan lebih sederhana untuk diatur, tetapi menghilangkan lapisan keamanan yang kritis.
LayerZero sejak itu merekomendasikan penggunaan beberapa verifier independen untuk menyetujui transaksi dalam dampak, mirip dengan memerlukan beberapa tanda tangan pada transfer bank. Beberapa orang dalam ekosistem telah menolak kerangka tersebut, mengatakan bahwa pengaturan default LayerZero adalah memiliki satu verifier.
"Jika Anda telah mengidentifikasi konfigurasi sebagai tidak aman, jangan kirimkan sebagai opsi," kata Schwed. "Keamanan yang bergantung pada semua orang membaca dokumen dan melakukannya dengan benar tidak realistis."
Dampaknya tidak terbatas pada Kelp. Seperti banyak sistem DeFi, asetnya digunakan di berbagai platform, yang berarti masalah dapat menyebar.
"Aset-aset ini adalah rantai IOU," kata Schwed. "Dan rantai hanya sekuat kontrol pada setiap tautan."
Ketika satu tautan rusak, yang lain terpengaruh. Dalam kasus ini, platform pinjaman seperti Aave yang menerima aset yang terdampak sebagai jaminan sekarang menghadapi kerugian, mengubah satu eksploitasi menjadi peristiwa stres yang lebih luas.
Pemasaran desentralisasi
Serangan ini juga mengungkapkan kesenjangan antara bagaimana desentralisasi dipasarkan dan bagaimana sebenarnya bekerja.
"Satu verifier tidak terdesentralisasi," kata Schwed. "Ini adalah verifier terdesentralisasi yang terpusat."
Urbelis meletakkannya lebih luas.
"Desentralisasi bukan properti yang dimiliki sistem. Ini adalah serangkaian pilihan," katanya. "Dan stack hanya sekuat lapisan paling terpusatnya."
Dalam praktiknya, itu berarti bahkan sistem yang tampak terdesentralisasi dapat memiliki titik lemah, terutama di lapisan yang kurang terlihat seperti penyedia data atau infrastruktur. Itulah yang semakin menjadi fokus penyerang.
Pergeseran itu mungkin menjelaskan penargetan terbaru Lazarus.
Kelompok ini telah mulai memusatkan perhatian pada infrastruktur cross-chain dan restaking, kata Urbelis, bagian dari kripto yang memindahkan aset antar sistem atau memungkinkannya untuk digunakan kembali.
Lapisan-lapisan ini penting tetapi kompleks, sering berada di bawah aplikasi yang lebih terlihat. Mereka juga cenderung menampung nilai dalam jumlah besar, menjadikannya target yang menarik.
Jika gelombang peretasan kripto sebelumnya fokus pada bursa atau kelemahan kode yang jelas, aktivitas terbaru menunjukkan pergerakan menuju apa yang bisa disebut sebagai sistem perpipaan industri, sistem yang menghubungkan segalanya, tetapi lebih sulit untuk dipantau dan lebih mudah untuk salah dikonfigurasi.
Saat Lazarus terus beradaptasi, risiko terbesar mungkin bukan kerentanan yang tidak diketahui, tetapi yang diketahui yang tidak sepenuhnya ditangani.
Eksploitasi Kelp tidak memperkenalkan jenis kelemahan baru. Ini menunjukkan betapa terbukanya ekosistem tetap terhadap yang sudah dikenal, terutama ketika keamanan diperlakukan sebagai rekomendasi daripada persyaratan.
Dan saat penyerang bergerak lebih cepat, kesenjangan itu menjadi lebih mudah untuk dieksploitasi dan jauh lebih mahal untuk diabaikan.
Baca lebih lanjut: Peretas Korea Utara menjalankan perampokan besar yang disponsori negara untuk menjalankan ekonomi dan program nuklirnya
Sumber: https://www.coindesk.com/tech/2026/04/20/north-korea-s-crypto-heist-playbook-is-expanding-and-defi-keeps-getting-hit
