Önemli Çıkarımlar:
LayerZero tarafından desteklenen KelpDAO'nun çapraz zincir köprü altyapısındaki kritik bir güvenlik açığı, 18 Nisan'da 292 milyon dolarlık bir saldırıya yol açarak karşılıksız rsETH tokenlarının oluşturulmasına ve Aave borç verme protokolünde bir likidite krizine neden oldu.
Altura DeFi COO'su Matthew Pinnock Decrypt'e verdiği demeçte, koordineli tepkinin ekosistemin "izole protokollerin ötesine geçerek daha koordineli bir finansal sisteme doğru ilerlediğinin" bir işareti olduğunu, ancak odak noktasının hesap verebilirlik olması gerektiğini söyledi.
Chainalysis raporuna göre, Kuzey Koreli Lazarus Grubu olduğuna inanılan saldırganlar, varlıkların hayali bir yakımını (phantom burn) rapor etmek için dahili RPC düğümlerini zehirleyerek LayerZero'nun tek doğrulayıcılı ağını tehlikeye attı. Bu durum, Ethereum üzerinde yetkisiz 116.500 rsETH basılmasına olanak tanıdı.
Olay, etkilenen protokollerden 15 milyar doların üzerinde TVL'yi (toplam kilitli değer) sildi ve önde gelen DeFi oyuncularından devasa, koordineli bir kurtarma çabasını tetiklerken, çapraz zincir köprü mimarisinin güvenliği ve merkeziyeti hakkında ciddi soruları gündeme getirdi.
Açığa yanıt olarak, "DeFi United" markası altındaki bir protokol koalisyonu kötü borcu üstlenmek için harekete geçiyor. Bu çaba, Aave kurucusu Stani Kulechov'un kişisel 5.000 ETH taahhüdünü ve Mantle'ın Aave DAO'ya 30.000 ETH'lik bir kredi imkanı teklifini içeriyor. Lido Finance, Golem Foundation ve Ether.fi de milyonlarca dolarlık destek sözü verdi. Arbitrum Güvenlik Konseyi, kolluk kuvvetleriyle birlikte çalışarak, saldırganın alt adresleriyle bağlantılı yaklaşık 71,5 milyon dolar değerindeki 30.766 ETH'yi başarıyla dondurdu.
Olayın yankıları, LayerZero'nun güvenlik duruşuna ilişkin sorularla daha da karmaşık hale geldi. Ripple CTO'su David Schwartz, LayerZero CEO'su Bryan Pellegrino'nun Aralık 2024'te yaptığı ve protokol hacminin "%0"ının tek bir Merkeziyetsiz Doğrulayıcı Ağına (DVN) dayandığını iddia eden açıklamasını vurguladı. Schwartz, "Aralık 2024 ile şimdi arasında bir şey mi değişti?" diye sorarak, saldırının anlatıldığı gibi gerçekleşmemiş olabileceğini veya daha önceki güvenlik iddialarının yanlış olduğunu ima etti. LayerZero, saldırının KelpDAO'nun özel tek DVN kurulumuna özgü olduğunu savunuyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
