Temel Çıkarımlar
KelpDAO, rezervlerini tüketen 292 milyon dolarlık bir istismarın ardından rsETH zincirler arası köprüsünü LayerZero'dan Chainlink'in Zincirler Arası Birlikte Çalışabilirlik Protokolü'ne (CCIP) taşıyor. Bu hamle, LayerZero'nun OFT standardını terk ederek Chainlink'in daha merkeziyetsiz doğrulama modeli lehine bir tercih anlamına geliyor.
Protokol yaptığı duyuruda, "KelpDAO'nun Chainlink CCIP'ye geçişi, istismarın merkezindeki mimari güvenlik açığını doğrudan ele alıyor" diyerek, bu yıl DeFi'nin en büyük güvenlik fiyaskolarından birinin ardından güvenlik duruşundaki temel değişikliği vurguladı.
Ön raporlara göre Kuzey Koreli Lazarus Grubu ile bağlantılı olan bir saldırgan, 18 Nisan'daki istismarda köprünün güvenlik yapılandırmasını tehlikeye atarak yaklaşık 116.500 rsETH'yi boşalttı. Chainalysis'e göre saldırı, zincir dışı altyapıyı ele geçirerek bilgisayar korsanının doğrulayıcıyı var olmayan işlemlere karşı fonları serbest bırakması için kandırmasına olanak tanıdı. Tartışma, tek bir hata noktası oluşturan 1'e 1 Merkeziyetsiz Doğrulayıcı Ağı (DVN) kurulumu etrafında yoğunlaşıyor.
Olay, dijital varlık alanındaki bilgisayar korsanları için birincil hedef olmaya devam eden zincirler arası köprü mimarisindeki sistemsel risklerin altını çiziyor. KelpDAO'nun bir rakibe kamuya açık bir şekilde geçmesi LayerZero üzerinde yoğun bir baskı oluşturuyor ve güvenlik ile basitlik arasındaki altyapı tercihlerini değerlendiren protokoller için kritik bir vaka çalışması işlevi görüyor.
Güvenlik açığının merkezinde, KelpDAO'nun işlemlerin doğrulanması için yalnızca LayerZero Labs'ın gerekli olduğu tek bir DVN yapılandırması kullanması vardı. LayerZero'nun olay sonrası analizi, bu kurulumun önerilen çoklu DVN modeliyle "doğrudan çeliştiğini" belirtti. Ancak KelpDAO, "Gerçekleri Ortaya Koymak" başlıklı bir yazı yayınlayarak LayerZero personelinin bu yapılandırmadan haberdar olduğunu ve bunu onayladığını iddia ederek karşı çıktı.
KelpDAO, konuşmaların ekran görüntülerini sundu ve LayerZero'nun kendi geliştirici dokümantasyonuna ve GitHub örneklerine işaret ederek, tekli DVN kurulumunun varsayılan olarak gösterildiğini iddia etti. CoinGecko tarafından atıfta bulunulan Dune Analytics verileri bunu destekleyerek, 4,5 milyar dolardan fazla değeri temsil eden aktif LayerZero uygulamalarının %47'sinin o sırada benzer bir 1'e 1 yapılandırma kullandığını gösterdi.
LayerZero o zamandan beri tek doğrulayıcılı kurulumları yasakladı ve protokolün kendisinin "tam olarak tasarlandığı gibi çalıştığını" ve Kelp'in "manuel olarak 1/1'e düşürdüğünü" belirtti. Altyapı sağlayıcısı ayrıca, güvenlik araştırmacısı Sujith Somraaj'ın daha önce aynı saldırı vektörü hakkında bir hata ödülü raporu sunduğunu, ancak LayerZero'nun bunu uygulama düzeyinde bir yanlış yapılandırma olarak değerlendirip kapsam dışı bularak reddettiğini kaydetti.
Yanıt olarak KelpDAO, yalnızca altyapı sağlayıcısını değiştirmekle kalmıyor, aynı zamanda rsETH için Chainlink'in Zincirler Arası Token standardını benimsiyor. Chainlink'in CCIP çerçevesi, tek doğrulayıcılı modeli en az 16 bağımsız düğüm operatöründen oluşan merkeziyetsiz bir ağ ile değiştirerek tek bir hata noktası riskini önemli ölçüde azaltıyor.
Saldırganın çalınan rsETH'leri Aave gibi borç verme piyasalarında teminat olarak yatırması ve yaklaşık 236 milyon dolar değerinde diğer varlıkları ödünç alması nedeniyle istismarın etkileri Ethereum üzerindeki DeFi ekosistemine yayıldı. Bu durum Aave'yi daha fazla likidite stresini önlemek için birkaç piyasayı dondurmaya zorladı. Olayın ardından, LayerZero'nun da katkılarıyla oluşturulan "DeFi United" girişimi, rsETH'nin desteğini geri kazanmaya yardımcı olmak için 300 milyon dolardan fazla fon topladı.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
