Önemli Çıkarımlar:
Kelp DAO saldırganı, Arkham Intelligence verilerine göre altı hafta içinde çalınan fonların yaklaşık 220 milyon dolarını akladı ve hacker etiketli cüzdanda yalnızca 1,7 milyon dolar izlenebilir durumda kaldı.
"Fonlar Wasabi mixer kullanılarak Bitcoin'e köprülenmiş, ardından Ethereum'a geri döndürülmüş ve Tornado Cash üzerinden döngüye sokulmuştu," dedi zincir üstü analist Specter.
Kötü niyetli aktör, 18 Nisan'da 116.500 Kelp DAO yeniden stake edilmiş Ether'i (rsETH) çaldı ve güvenlik platformu CertiK'e göre o ay için toplam kripto hack kayıplarını 630 milyon dolara çıkardı. Fazladan 71 milyon dolar (30.765,67 ETH) üç gün sonra Arbitrum'un Güvenlik Konseyi tarafından donduruldu ve şu anda New York'ta federal bir ihtiyati tedbir kararının konusu olup, duruşması Cuma günü yapılacak.
Dondurulmamış fonların neredeyse tamamının başarıyla aklanması, mağdurların geri kazanım olasılığını önemli ölçüde azalttı ve en az üç DeFi protokolünü (Solv Protocol, Tydro ve Kelp DAO'nun kendisi) çapraz zincir köprü güvenliğindeki zayıflıkları gerekçe göstererek LayerZero'dan Chainlink'in Çapraz Zincir Birlikte Çalışabilirlik Protokolü'ne geçmeye itti.
Aklama operasyonu, Specter'ın zincir üstü analizine göre iki katmanlı bir yaklaşım kullandı: çalınan rsETH'yi Wasabi kripto mixer aracılığıyla Bitcoin'e köprülemek, ardından Ethereum'a dönmeden önce Tornado Cash üzerinden çekim ve yatırma işlemleri yapmak. Bu faaliyet, kalan dondurulmamış fonların geri kazanılmasına yönelik herhangi bir şansı fiilen sona erdirebilir.
CertiK'e göre, daha geniş DeFi sektörü Mayıs ayında istismar kayıplarının 68,3 milyon dolara düştüğünü gördü; bu, Nisan ayındaki 630 milyon dolara kıyasla neredeyse %90'lık bir düşüş. Yaklaşık 2,6 milyon dolar kimlik avı saldırılarına atfedilirken, 9,4 milyon dolar başarıyla kurtarıldı veya iade edildi. Yine de Kelp DAO olayı, çapraz zincir güvenliği konusunda daha geniş çaplı endişeleri tetikledi.
Kelp DAO, beş haftalık kurtarma çabasını 26 Mayıs'ta tamamladı ve 20.373,7 rsETH tokeninin son dilimini çapraz zincir transferlerinden sorumlu LayerZero akıllı sözleşmesine gönderdi. Protokol, rsETH tokenini Chainlink CCIP'ye taşıyarak istismarın sorumlusu olarak gösterdiği LayerZero destekli köprüden uzaklaştı. LayerZero ise olayın, daha önceki uyarılara rağmen tek bir LayerZero DVN'yi tek doğrulanmış yol olarak kullanan Kelp DAO'nun uygulamasındaki tek bir hata noktasından kaynaklandığını savundu.
Arbitrum Güvenlik Konseyi tarafından dondurulan 71 milyon dolar çözüme kavuşturulamadı. Bir federal mahkeme, 8 Mayıs'ta bir ihtiyati tedbir kararını, zincir üstü bir Arbitrum yönetişim oylamasına ve dondurulan ETH'nin bir Aave LLC kontrollü adrese transferine izin verecek şekilde değiştirdi, ancak ihtiyati tedbir kararının esaslı içeriği halen değerlendirilmektedir. Sonuç, kurtarılan kripto varlıklarının ABD federal davalarıyla kesiştiğinde nasıl ele alınacağı konusunda emsal teşkil edebilir.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
