Toplam kilitli değeri 3 milyar doların üzerinde olan merkeziyetsiz finans (DeFi) projeleri, KelpDAO’da yaşanan 292 milyon dolarlık saldırının ardından köprü güvenliğine yönelik endişelerin artmasıyla birlikte, zincirler arası altyapılarını Chainlink’in Cross-Chain Interoperability Protocol (CCIP) protokolüne taşıyor.
Chainlink, KelpDAO, Solv Protocol, Re ve Tydro dahil olmak üzere dört protokolün eski oracle ve köprü sistemlerini devre dışı bırakıp CCIP’ye geçiş sürecini başlattığını doğruladı.
Bu geçiş, LINK’in piyasa performansına da yansıdı. CryptoSlate verilerine göre, CCIP benimsenmesinin hızlanmasıyla birlikte LINK %15 artışla 10,52 dolara yükselerek ocak ayından bu yana en yüksek seviyesine ulaştı.
Blok zinciri analiz şirketi Santiment, bu yükselişin borsalardaki LINK arzının daralmasıyla aynı döneme denk geldiğini belirtti. Şirkete göre, son beş haftada borsalardaki LINK rezervleri 13,5 milyon LINK azaldı ve bu miktar nisan başındaki borsa bakiyesinin %10,5’inden fazlasına karşılık geliyor.
Fiyat hareketi, Chainlink’in kripto altyapısındaki rolünün yeniden değerlendirildiğine işaret ediyor. Yıllarca fiyat veri akışları ve oracle hizmetleriyle öne çıkan ağ, artık DeFi ekosisteminin daha güvenli zincirler arası çözümler arayışında doğrudan fayda sağlayan bir oyuncu konumuna geliyor.
DeFi Protokolleri Neden Chainlink’in CCIP’sini Tercih Ediyor?
Zincirler arası köprüler, token, NFT ve verilerin farklı blok zinciri ağları arasında taşınmasını sağlıyor. Bu altyapı, kullanıcıların varlıklarını merkezi bir borsaya ihtiyaç duymadan Ethereum’dan Solana’ya gibi farklı ekosistemler arasında taşımasına imkan tanıyor.
DeFi’nin birden fazla blok zincirine yayılmasıyla birlikte, borç verme piyasaları, staking token’ları, stablecoin’ler ve tokenlaştırılmış varlıklar, likiditeyi bölmeden veya kullanıcıları tek bir zincire hapsetmeden değer aktarabilen altyapılara giderek daha fazla ihtiyaç duyuyor.
Ancak köprüler, karmaşık doğrulama sistemlerine ve büyük miktarda kilitli varlığa sahip olmaları nedeniyle, kripto ekosisteminin en sık saldırıya uğrayan altyapı unsurlarından biri haline geldi.
Chainalysis, zincirler arası köprüleri blok zinciri endüstrisinin başlıca güvenlik risklerinden biri olarak tanımlıyor. 2022 itibarıyla, 13 köprü saldırısında 2 milyar dolardan fazla varlık çalındı ve Kuzey Kore bağlantılı gruplar en aktif saldırganlar arasında yer aldı.
Bu geçmiş, DeFi protokollerini daha standartlaştırılmış güvenlik kontrolleri sunan altyapılara yöneltti. Temmuz 2023’te mainnet üzerinde kullanıma sunulan Chainlink’in CCIP protokolü, bu dönüşümün öne çıkan çözümlerinden biri oldu.
CCIP, Chainlink’in merkeziyetsiz oracle ağlarını kullanıyor. Bu altyapı, DeFi’nin büyük bölümünü güvence altına alan veri akışlarının da temelini oluşturuyor. Chainlink’e göre, şu anda üretimde 2.000’den fazla merkeziyetsiz oracle ağı bulunuyor ve bu ağlar 110 milyar doların üzerinde değeri koruyarak DeFi’nin %70’inden fazlasına güç sağlıyor.
Birçok geleneksel köprü, sınırlı sayıda doğrulayıcıya veya doğrulama yoluna bağlıyken, CCIP hem veri hem de token transferini Chainlink’in oracle altyapısı üzerinden zincirler arasında iletecek şekilde tasarlandı.
Bu sayede protokoller, özel köprü tasarımlarına olan bağımlılıklarını azaltarak varlık transferi gerçekleştirebiliyor.
Yüz milyonlarca dolarlık varlık yöneten protokoller için zincirler arası altyapı, artık yalnızca arka planda çalışan bir unsur değil, risk yönetiminin temel bir parçası olarak değerlendiriliyor.
LayerZero Baskı Altında
Bu geçiş dalgası, KelpDAO’nun daha önce kullandığı zincirler arası platform LayerZero’yu da 292 milyon dolarlık saldırıdaki rolünü açıklama konusunda baskı altına aldı.
LayerZero, 18 Nisan’daki saldırıdan yaklaşık üç hafta sonra, 9 Mayıs’ta bir özür açıklaması yayımladı. Şirket, saldırı sonrası iletişimlerinin yetersiz kaldığını kabul etti ve güvenlik modelinin yüksek değerli bir uygulamanın yeterli koruma olmadan çalışmasına izin verdiğini itiraf etti.
Başlangıçta altyapısının tasarlandığı gibi çalıştığını ve sorumluluğun uygulama yapılandırmasında olduğunu savunan LayerZero, son açıklamalarında ise merkeziyetsiz doğrulayıcı ağının (DVN) yüksek değerli işlemlerde tek başına kullanılmasına izin vererek hata yaptıklarını belirtti.
Şirket, DVN’nin neyi güvence altına aldığına dair yeterli denetim yapılmadığını ve bu durumun öngörülemeyen bir risk yarattığını ifade etti.
Bu itiraf, tartışmanın merkezinde yer alıyor. LayerZero’nun mimarisi, uygulama geliştiricilerine doğrulama yapılandırmasını istedikleri gibi belirleme esnekliği sunuyor. Bu özelleştirilebilirlik, özellikle zincirler arası güvenlik varsayımlarını daha fazla kontrol etmek isteyen ekipler için protokolün cazibesinin önemli bir parçasıydı.
Ancak KelpDAO saldırısı, ekiplerin doğrulama yapılandırmasını fazla dar tuttuğu durumlarda bu yaklaşımın zayıf yönlerini ortaya çıkardı. Bir uygulama tek bir doğrulayıcıya bağımlıysa, o katmandaki bir açık doğrudan kullanıcı fonlarını tehdit edebiliyor.
LayerZero ayrıca üç yıl önce yaşanan ve daha önce açıklanmayan bir olayı da paylaştı. Şirkete göre, multisig imzalayıcılarından biri LayerZero donanımını kişisel bir işlem için yanlışlıkla kullandı. İlgili imzalayıcı sistemden çıkarıldı, cüzdanlar değiştirildi ve LayerZero daha sonra özel olarak geliştirilmiş bir multisig altyapısına geçti.
Bu açıklama, protokolün geçmişteki iç güvenlik açıklarını ele aldığını göstermek amacıyla paylaşıldı. Ancak, müşterilerin risklerini yeniden değerlendirdiği bir dönemde, LayerZero üzerindeki incelemeyi daha da artırdı.
LayerZero, KelpDAO saldırısının yalnızca tek bir uygulamayı etkilediğini, bunun da ağdaki uygulamaların %0,14’üne ve protokoldeki toplam değerin yaklaşık %0,36’sına karşılık geldiğini belirtti. Şirket, başka hiçbir uygulamanın etkilenmediğini de vurguladı.
Bu savunma, LayerZero’yu dar ama zorlu bir pozisyonda bırakıyor. Şirket, saldırının izole bir olay olduğunu göstermeye çalışırken, aynı zamanda bu kadar yüksek değerin daha güçlü bir denetim olmadan güvence altına alınmasına izin verilmemesi gerektiğini de kabul ediyor.
Kurumsal Güven Yeniden Sağlanabilir mi?
Şimdi temel soru, LayerZero’nun özrü ve teknik açıklamalarının protokollerin Chainlink’e geçişini yavaşlatıp yavaşlatamayacağı.
Entropy Advisors veri sorumlusu Tom Wan, kurumsal güvenin zaten zedelenmiş olabileceğini sorguladı. Wan, bir özrün müşterilerin Chainlink’e geçişini durdurup durduramayacağını ya da bunun sadece bir başlangıç olup olmadığını gündeme getirdi.
LayerZero, bu endişeye kullanım verileriyle yanıt vermeye çalıştı. Şirket, nisan ayındaki saldırıdan bu yana altyapısı üzerinden 9 milyar dolardan fazla varlık transfer edildiğini ve KelpDAO olayına rağmen kullanıcıların ve uygulamaların protokole güvenmeye devam ettiğini belirtti.
Wan ayrıca USDe, WBTC ve weETH gibi büyük varlıkların LayerZero üzerinde aktif olmaya devam ettiğini vurguladı.
Bu devam eden kullanım, bazı önemli projeler zincirler arası altyapılarını başka yerlere taşısa da, protokolün tamamen güven kaybı yaşamadığına işaret ediyor.
LayerZero’nun savunucuları ise protokolün esnekliğinin en büyük avantajı olduğunu savunuyor.
Bu bakış açısına göre, özelleştirilebilirlik tek başına bir kusur değil. Asıl risk, uygulama ekiplerinin güvenlik yapılandırmalarını sistemlerinden geçen sermaye miktarıyla uyumlu hale getirmemesiyle ortaya çıkıyor.
LayerZero ağındaki en büyük varlık olan USDT0’ın kurucu ortağı Lorenzo Romagnoli, LayerZero modelinin varlık ihraççılarının en baştan güvenliğe öncelik vermesini gerektirdiğini belirtti. USDT0, bugüne kadar 4 milyar dolarlık zincirler arası transferi sorunsuz şekilde gerçekleştirdi.
Romagnoli, LayerZero’nun yüksek düzeyde özelleştirilebilirliği sayesinde zincirler arası birlikte çalışabilirlikte altın standart olduğunu, ancak uygulama sahiplerinin güvenlik standartlarını karşılamak için ciddi kaynak ayırması gerektiğini vurguladı.
USDT0’ın, kendi özel veto yetkili DVN’ini ve risk profiline uygun denetim mekanizmalarını kullandığını belirten Romagnoli, protokolün etkilenmemesinin nedeninin güvenliği ürünün ayrılmaz bir parçası olarak ele almaları olduğunu söyledi.
Bu savunma, zincirler arası altyapının karşı karşıya olduğu daha geniş tartışmayı özetliyor. Protokoller esneklik isterken, aynı zamanda büyük kullanıcı fonlarını koruyacak kadar güçlü varsayılan ayarlara ve koruma mekanizmalarına da ihtiyaç duyuyor. KelpDAO saldırısı, bu dengeyi göz ardı etmeyi zorlaştırdı.
Chainlink açısından bakıldığında, geçiş dalgası CCIP’nin güvenlik odaklı zincirler arası standart olarak konumunu güçlendiriyor ve DeFi ekipleri tedarikçi riskini yeniden değerlendiriyor.
LayerZero için ise asıl zorluk, özelleştirilebilir modelinin yüksek değerli uygulamaları zayıf yapılandırmalara karşı koruyarak kurumsal beklentileri karşılayabileceğini gösterebilmek.
Bu içerik hazırlanırken faydalanılan kaynaklar: cryptorank.io
