#LayerZeroCEOAdmitsProtocolFlaws — Hack yang Menghancurkan Kepercayaan Cross-Chain, dan Pengakuan Jujur CEO

Harga ZRO: $1.412 | 24J: -3.22% | 30H: -32.34% | Kapitalisasi Pasar: $292M
Pada 4 Mei 2026, CEO LayerZero Labs Bryan Pellegrino menerbitkan pernyataan mentah dan tanpa filter di X yang mengguncang ekosistem cross-chain. Dia mengakui sesuatu yang tidak ingin dikatakan oleh CEO infrastruktur mana pun: "Saya salah." Pengakuan itu datang dua minggu setelah exploit DeFi terbesar tahun 2026, yaitu pengurasan sebesar $292 juta dari jembatan rsETH Kelp DAO yang mengungkap kelemahan fatal dalam arsitektur inti LayerZero.

Berikut penjelasan lengkap tentang apa yang terjadi, apa yang dikonfirmasi CEO, dan mengapa ini penting bagi setiap pengguna kripto.

💥 THE EXPLOIT: Bagaimana $292 Juta Menghilang dalam Hitungan Menit
Pada 18 April 2026, pukul 17:35 UTC, seorang penyerang melancarkan serangan menghancurkan terhadap jembatan rsETH Kelp DAO, sebuah aset cross-chain yang didukung oleh infrastruktur pesan LayerZero.

Mekanisme serangan:

Penyerang, yang dikaitkan dengan "kepercayaan awal" kepada Kelompok Lazarus dari Korea Utara (subunit TraderTraitor), mengompromikan dua node RPC yang menjadi andalan Jaringan Verifikasi Desentralisasi LayerZero
Secara bersamaan melakukan DDoS terhadap node RPC yang tersisa, memaksa failover ke infrastruktur yang terinfeksi
Mengirim pesan cross-chain palsu yang memerintahkan jembatan untuk menguras 116.500 rsETH (sekitar $292 juta)
RsETH yang dicuri dipindahkan ke Aave V3 dan digunakan untuk meminjam WETH, menyebabkan Aave membekukan pasar rsETH dan memicu keluar dana lebih dari $10 miliar
Serangan kedua yang menargetkan 40.000 rsETH tambahan (~$95M) diblokir setelah Kelp menghentikan kontrak dan memasukkan blacklist ke wallet penyerang
Dampak berantai:

Beberapa protokol menghentikan sementara jembatan OFT LayerZero mereka
TVL DeFi turun sekitar 7% menjadi $86,3 miliar
Eksploitasi ini adalah hack DeFi terbesar tahun 2026, bagian dari bulan dengan hack sebesar $650 juta di bulan April
Kerentanan kritis: Kelp DAO menjalankan konfigurasi DVN 1-of-1 yang berarti hanya satu verifier (DVN milik LayerZero sendiri) yang memvalidasi pesan cross-chain untuk miliaran TVL. Ketika verifier tunggal itu dikompromikan, tidak ada redundansi untuk menangkap pesan palsu tersebut.

⚡ THE BLAME GAME: LayerZero vs. Kelp DAO
Post-mortem awal LayerZero menempatkan kesalahan sepenuhnya pada Kelp: protokol tersebut "mengabaikan rekomendasi multi-verifier" dan memilih pengaturan berisiko 1/1 melawan saran.

Kelp DAO membalas dengan klaim kontra yang meledak:

Konfigurasi verifier 1-of-1 adalah pengaturan default yang didokumentasikan oleh LayerZero sendiri, bukan konfigurasi nakal yang dipilih Kelp secara independen
Kelp menunjukkan screenshot percakapan Telegram yang menunjukkan anggota tim LayerZero berkata: "Tidak masalah menggunakan default juga, saya tandai $356M
di sini karena dia menyebutkan bahwa Anda mungkin ingin menggunakan pengaturan DVN kustom untuk memverifikasi pesan, tapi akan biarkan tim Anda yang memutuskan!" yang secara efektif menyetujui pengaturan tersebut
DVN yang dikompromikan adalah infrastruktur milik LayerZero sendiri, bukan verifier pihak ketiga yang dipilih Kelp
Saluran komunikasi yang terbuka sejak Januari 2024 tidak pernah memberikan rekomendasi spesifik untuk mengubah konfigurasi rsETH DVN
Data publik menunjukkan sekitar 47% dari semua kontrak LayerZero OApp menjalankan pengaturan DVN 1-of-1, konfigurasi Kelp bukan outlier; itu adalah norma
Tanggapan Kelp DAO: Pindahkan rsETH dari standar OFT LayerZero sepenuhnya, beralih ke Cross-Chain Interoperability Protocol (CCIP) dari Chainlink untuk operasi cross-chain di masa depan. Ini adalah kerugian kompetitif langsung bagi LayerZero, karena klien jembatan terbesar mereka beralih ke pesaing utama mereka.

🙏 THE CEO'S ADMISSION: "Saya Salah"
Pada 4 Mei, Pellegrino memecah keheningan dengan pernyataan pribadi yang menandai perubahan dramatis dari sikap pengalihan tanggung jawab LayerZero sebelumnya:

Tiga pengakuan utama:

"Dissonansi kognitif" tentang konfigurasi pengguna Dia awalnya memandang LayerZero seperti Gnosis Safe: infrastruktur solid di mana aplikasi mengatur konfigurasi mereka sendiri. Dia berasumsi tidak ada yang akan mengamankan miliaran TVL dengan pengaturan verifier 1/1 yang berisiko, terutama karena LayerZero membantu aplikasi besar dengan konfigurasi aman. Kata-katanya: "Saya salah." Hampir setengah dari semua OApps LayerZero menjalankan konfigurasi yang sama persis seperti yang dia pikir tidak akan digunakan.

Komunikasi yang buruk tentang perubahan keamanan LayerZero diam-diam menerapkan langkah-langkah yang lebih ketat (memaksa kuorum RPC, membutuhkan beberapa RPC per chain) yang mengganggu operasi bisnis pelanggan. Pelanggan "berteriak" ke Pellegrino selama 3-5 menit, dan dia mengakui mereka "sangat benar." Mengubah parameter keamanan tanpa komunikasi transparan tidak dapat diterima ketika miliaran bergantung pada infrastruktur Anda.

Kegagalan dalam dukungan pelanggan Dia meminta maaf karena gagal melayani pelanggan, berterima kasih kepada mitra seperti ZeroShadow, Aave, dan DeFiUnited atas upaya pemulihan (melacak dan menyita dana penyerang), dan berjanji bahwa LayerZero Labs akan fokus penuh pada layanan penerbit aset dan peluncuran "Zero."

Reaksi campuran: Beberapa anggota komunitas memuji kejujuran tersebut. Yang lain menyebutnya "gaslighting" akuntabilitas setelah dua minggu menyalahkan tidak menghapus pengalihan awal. Kepercayaan, setelah rusak dalam infrastruktur keamanan, tidak akan pulih dengan satu permintaan maaf.

📉 DAMPAK PASAR: ZRO Di Bawah Tekanan
Data token menunjukkan ceritanya sendiri:

ZRO di $1.412, turun 3.22% dalam 24 jam
Penurunan 30 hari sebesar -32.34%, salah satu performa bulanan terburuk di antara token infrastruktur utama
Penurunan 90 hari sebesar -12.5%, kerusakan melampaui kepanikan jangka pendek
Penguncian token sebesar 25,71 juta dijadwalkan pada 20 Mei, menambah tekanan jual
Volume mingguan rendah dibandingkan kapitalisasi pasar, memperbesar fluktuasi harga saat terjadi penjualan kecil
Tekanan bearish ini lebih dari sekadar akibat hack, ini menyangkut pertanyaan mendasar tentang apakah arsitektur DVN LayerZero dapat dipercaya sebagai tulang punggung DeFi cross-chain.

🔍 MENGAPA INI PENTING DI LUAR LAYERZERO
Insiden ini mengungkapkan tiga masalah sistemik dalam infrastruktur cross-chain:

1. Konfigurasi default berbahaya. Ketika 47% aplikasi di sebuah protokol menjalankan konfigurasi yang rentan yang sama, itu bukan kesalahan pengguna melainkan kegagalan desain. Penyedia infrastruktur harus menganggap default sebagai tanggung jawab keamanan paling penting, karena pengguna akan cenderung memilih jalan paling mudah.

2. Transparansi bukan pilihan dalam infrastruktur keamanan. Mengubah parameter verifikasi secara diam-diam tanpa memberi tahu pelanggan yang terdampak tidak dapat diterima. Ketika protokol Anda mengamankan miliaran, setiap perubahan konfigurasi membutuhkan komunikasi yang jelas, jalur migrasi, dan garis waktu transisi.

3. Titik kegagalan tunggal berkembang secara katastrofik. Verifier 1-of-1 berarti satu node yang dikompromikan dapat memalsukan pesan untuk seluruh jembatan. Pengaturan multi-verifier dengan domain keamanan independen bukanlah kemewahan, melainkan arsitektur minimum yang diperlukan untuk protokol yang menangani TVL signifikan.

⚔️ PERGESERAN KOMPETITIF: Chainlink CCIP Menang
Migrasi Kelp DAO ke Chainlink CCIP adalah sinyal kompetitif paling penting dalam infrastruktur cross-chain tahun ini. Ketika klien jembatan terbesar Anda meninggalkan untuk pesaing langsung setelah kegagalan keamanan, pasar menilai itu sebagai verdict terhadap kepercayaan arsitektur. Kerangka manajemen risiko CCIP dengan jaringan oracle independen, konfigurasi multi-verifier wajib, dan batas risiko eksplisit kini memiliki klien referensi yang memilihnya secara khusus karena arsitektur LayerZero gagal.

🎯 INTI POKOK
Pengakuan Pellegrino adalah langkah menuju akuntabilitas, tetapi datang setelah dua minggu penyalahgunaan blame yang semakin mengikis kepercayaan. Ujian sebenarnya bukan apa yang dikatakan CEO, melainkan apa yang dilakukan LayerZero. Akankah "Zero" menghadirkan reformasi arsitektur yang berarti? Akankah 47% aplikasi yang masih menggunakan pengaturan 1/1 bermigrasi sebelum serangan berikutnya? Akankah praktik komunikasi berubah secara permanen?

Eksploitasi sebesar $292 juta ini tidak hanya menguras dana, tetapi juga menguras kepercayaan terhadap seluruh model verifikasi cross-chain. Membangun kembali kepercayaan itu membutuhkan lebih dari sekadar permintaan maaf. Dibutuhkan bukti bahwa arsitektur itu sendiri telah berubah.

Infrastruktur cross-chain adalah tulang punggung DeFi. Ketika tulang punggung itu retak, semua yang dibangun di atasnya berguncang. Industri sedang mengawasi langkah selanjutnya LayerZero dengan cermat, dan Anda pun harus.