TLDR
Peretasan Kelp menunjukkan bahwa eksploitasi sistem dapat terjadi tanpa mengandalkan kelemahan kriptografi. Keamanan dalam sistem terdesentralisasi sangat bergantung pada konfigurasi dan pilihan desain. Penting untuk tidak hanya bergantung pada dokumentasi tetapi juga menerapkan praktik keamanan yang lebih ketat dalam pengembangan sistem. Kelompok peretas Korea Utara sukses melancarkan dua serangan besar terhadap platform kripto Drift dan Kelp, menguras lebih dari 500 juta dolar. Serangan ini menggunakan teknik manipulasi data yang memanfaatkan kelemahan desain sistem yang memverifikasi siapa pengirim pesan tapi tidak memeriksa kebenaran isi pesan.Eksploitasi terjadi karena Kelp mengandalkan satu verifier untuk mengotorisasi transaksi cross-chain, yang secara teknis mempermudah proses tapi melemahkan keamanan. LayerZero menyarankan menggunakan beberapa verifier sehingga transaksi memerlukan beberapa tanda tangan, tapi opsi konfigurasi rentan ini tetap dipasarkan.Akibat serangan tersebut, efek domino muncul pada platform lain seperti Aave yang menggunakan aset terpengaruh sebagai jaminan pinjaman. Ini memperlihatkan kelemahan desentralisasi yang bersifat pilihan dan bukannya properti sistem yang inheren, sehingga membuat sektor DeFi rentan terhadap serangan yang lebih terorganisir dan canggih.
