Kelompok Lazarus Curi $290 Juta dari KelpDAO via LayerZero

Kelompok hacker asal Korea Utara, Lazarus, kembali membuat keonaran di dunia Web3. Kali ini, mereka berhasil mencuri dana senilai $290 juta dari KelpDAO melalui eksploitasi node RPC LayerZero. Insiden ini terjadi pada 18 April 2026 dan menjadi salah satu serangan terbesar dalam sejarah DeFi.

Menurut investigasi dari LayerZero, Lazarus Group menggunakan unit TraderTraitor untuk mengkompromi dua node RPC LayerZero yang bertugas memberikan data ke verifier protokol. Dengan cara ini, mereka memasang malware yang memberikan data transaksi palsu secara eksklusif ke verifier LayerZero sambil tetap mempertahankan respons yang jujur ke sistem monitoring.

📖 Baca Juga

• BitMine dan Strategy Cetak Rekor Pembelian Crypto Terbesar Tahun Ini
• Eksploitasi KelpDAO Picu Krisis Likuiditas di Aave
• Lazarus Group Diduga Dalang Dua Hack Web3 Senilai Rp3 Triliun

Serangan ini semakin rumit ketika Lazarus melakukan Distributed Denial of Service (DDoS) pada endpoint RPC yang sah, memaksa verifier untuk bergantung pada node yang telah dikompromikan. Setelah verifier menyetujui transaksi palsu tersebut, bridge KelpDAO melepaskan $290 juta dalam bentuk rsETH yang tidak didukung aset.

Insiden ini menimbulkan pertanyaan besar tentang keamanan infrastruktur Web3, terutama terkait dengan node RPC dan sistem verifikasi. LayerZero telah melakukan post-mortem untuk memahami celah keamanan yang dimanfaatkan oleh Lazarus dan berjanji untuk meningkatkan sistem mereka.

Ke depan, komunitas Web3 diharapkan lebih waspada terhadap serangan-serangan canggih seperti ini, terutama yang melibatkan kompromi node RPC. Peningkatan keamanan dan sistem monitoring yang lebih ketat menjadi kunci untuk menghindari insiden serupa di masa depan.