Lebih dari $500 juta hilang dalam waktu kurang dari tiga minggu dari dua platform DeFi. Masalahnya bukan karena sistem yang diretas, tapi karena sistem tersebut memiliki celah. Peretasan ini diduga dilakukan oleh Lazarus Group dari Korea Utara.
Eksploitasi Kelp menunjukkan bahwa grup peretas ini telah berkembang melampaui peretasan terpisah. Mereka dengan cepat mengubah taktik dari social engineering ke mengeksploitasi kelemahan dalam infrastruktur kripto. Kejadian ini mengindikasikan adanya kampanye berkelanjutan yang disupport oleh negara dan telah terjadi juga sebelumnya.
Para hacker ini meretas dengan strategi yang tidak berfokus pada pemecahan enkripsi atau pembobolan kunci. Mereka memanipulasi data yang masuk ke sistem dengan memaksanya bergantung pada input yang telah dikompromikan, sehingga sistem menyetujui transaksi yang sebenarnya tidak pernah terjadi.
Dalam hal ini, Lazarus Group merentas dengan memanfaatkan celah yang telah lama ada di dalam sistem. Sistem memang memeriksa siapa yang mengirim pesan, tetapi tidak ada pemeriksaan lebih lanjut mengenai apakah pesan itu sendiri benar atau hanya berupa data yang telah dimanipulasi. Bagi para ahli keamanan, kasus ini tidak termasuk peretasan cerdas, melainkan hanya pengeksploitasian cara sistem yang telah tersusun.
Masalah utama yang menjadikan kasus ini mungkin terjadi adalah pilihan konfigurasi. Di dalam sistemnya, Kelp hanya mengandalkan satu verifier untuk menyetujui pesan lintas chain. Penggunaan verifier tunggal ini dinilai lebih cepat dan lebih sederhana untuk disiapkan. Sayangnya, penggunaan verifier tunggal ini justru menghilangkan lapisan keamanan yang penting.
Sejak adanya peretasan ini, LayerZero telah merekomendasikan penggunaan beberapa verifier independen untuk menyetujui transaksi. Sistemnya mirip dengan menunjukkan beberapa tanda tangan pada transfer bank. Namun, usulan ini mendapat banyak kritik. Salah satunya adalah kritik dari David Schwed, COO dari perusahaan keamanan blockchain SVRN. Dikutip dari CoinDesk, Schwed berkata, “Jika suatu konfigurasi telah diidentifikasi tidak aman, maka jangan mengirimnya sebagai pilihan. Keamanan yang bergantung pada semua orang yang membaca dokumen dan melakukannya dengan benar bukanlah hal yang realistis.”
Serangan hacker ini juga mengungkapkan kesenjangan antara bagaimana sistem desentralisasi ditawarkan dan bagaimana cara kerja sistem ini.
DeFi memang menggunakan sistem desentralisasi, karena itu terkuak bahwa ia masih menyimpan titik lemah tersembunyi dalam infrastruktur dan konfigurasi. Sehingga celah lama yang diabaikan justru bisa menjadi target utama serangan hacker yang semakin cepat dan terorganisir.
