Kelp DAO’nun LayerZero altyapısıyla çalışan çapraz zincir köprüsünde, dolaşımdaki rsETH token’larının yaklaşık beşte birini tutan rezervler boşaltıldı. Saldırgan, hafta sonu 17:35 UTC’de Kelp DAO’nun köprüsünden 116.500 rsETH çekti. Bu miktar, mevcut fiyatlarla yaklaşık 292 milyon dolara ve CoinGecko verilerine göre rsETH’nin 630.000’lik dolaşımdaki arzının %18’ine denk geliyor. LayerZero, farklı blok zincirlerinin birbirine doğrulanmış talimatlar göndermesini sağlayan bir çapraz zincir mesajlaşma katmanı olarak öne çıkıyor. Kelp DAO ise, kullanıcıların yatırdığı Ethereum’u EigenLayer üzerinden yönlendirerek standart Ethereum staking getirilerine ek getiri sağlayan ve karşılığında rsETH veren likit restaking protokolü olarak faaliyet gösteriyor.
Saldırıya uğrayan köprü, rsETH’nin 20’den fazla blok zincirinde dağıtılan sarılmış versiyonlarını destekleyen rezervleri barındırıyordu. Saldırgan, LayerZero’nun mesajlaşma katmanını başka bir ağdan geçerli bir talimat geldiğine inandırarak köprünün 116.500 rsETH’yi kendi kontrolündeki bir cüzdan adresine aktarmasını sağladı. Kelp DAO’nun acil durum çoklu imza mekanizması, saldırıdan 46 dakika sonra protokolün ana sözleşmelerini dondurdu. 18:26 ve 18:28 UTC’de iki ek girişim daha oldu; her ikisi de yaklaşık 40.000 rsETH’lik (yaklaşık 100 milyon dolar) yeni bir boşaltma denemesiydi ancak işlemler geri çevrildi.
Kuzey Kore bağlantılı hacker’ların, kısa süre önce Drift adlı kripto ticaret platformunu sosyal mühendislik yoluyla hedef almasından üç hafta sonra, Kelp DAO’da da benzer bir saldırı gerçekleştirdiği görülüyor. Kelp DAO’nun LayerZero’nun çapraz zincir altyapısına entegre olması, Kuzey Kore bağlantılı saldırganların yalnızca yazılım açıklarını veya çalınan kimlik bilgilerini değil, merkeziyetsiz sistemlerin temel varsayımlarını da istismar ettiğini gösteriyor. Bu iki olay, Kuzey Kore’nin kripto sektöründen fon çalma çabalarını daha organize ve sistematik bir şekilde sürdürdüğüne işaret ediyor. ENS Labs’in bilgi güvenliği sorumlusu Alexander Urbelis, “Bu bir dizi münferit olay değil, bir düzenlilik” değerlendirmesinde bulundu. Drift ve Kelp saldırılarında iki haftadan kısa sürede toplamda 500 milyon doların üzerinde varlık çekildi. Kelp DAO’daki saldırıda şifreleme kırılmadı veya anahtarlar ele geçirilmedi; sistem tasarlandığı gibi çalıştı ancak saldırganlar sisteme giren verileri manipüle ederek, gerçekleşmemiş işlemlerin onaylanmasını sağladı.
Saldırgan, geçerli gibi görünen sahte bir transfer mesajı oluşturarak sistemin onayını aldı. Token’lar gönderici zincirden çıkmamış olmasına rağmen transfer onaylandı ve Ethereum tarafındaki köprüden 116.500 rsETH serbest bırakıldı. Saldırgan, varlıkları açık piyasada satmak yerine, 89.567 rsETH’yi Aave’ye teminat olarak yatırdı ve Ethereum ile Arbitrum ağlarında yaklaşık 190 milyon dolarlık ETH ve ilgili varlıkları ödünç aldı. Bu durum, Aave’yi teminatın karşılığının ciddi şekilde zayıflayabileceği bir riskle karşı karşıya bıraktı. Aave Labs, riski sınırlamak için hızlıca harekete geçti; saatler içinde rsETH piyasalarını dondurdu, kredi-teminat oranlarını sıfırladı ve bu varlık karşılığında yeni borçlanmaları durdurdu. Bundan sonraki süreçte, Kelp DAO’nun açığı nasıl yöneteceği belirleyici olacak. Eğer zarar tüm rsETH sahiplerine yayılırsa, token yaklaşık %15 oranında değer kaybedebilir ve Aave’de yaklaşık 124 milyon dolarlık kötü borç oluşabilir. Zararlar yalnızca Katman 2 ağlarında kalırsa, etki çok daha büyük olacak ve kötü borç miktarı yaklaşık 230 milyon dolara çıkacak; bu da özellikle Arbitrum ve Mantle gibi ağlarda yoğunlaşacak.
Coinbase’in hazırlattığı yeni bir rapor, kuantum bilgisayarların kriptoyu yakın vadede kırmayacağını ancak sektörün hazırlık yapması gerektiğini vurguluyor. Bağımsız bir danışma kurulunun hazırladığı 50 sayfalık raporda, Stanford Üniversitesi’nden Dan Boneh, Ethereum Vakfı’ndan Justin Drake ve Eigen Labs’ten Sreeram Kannan gibi önde gelen kriptograflar yer alıyor. Rapora göre, bugünkü blok zincirleri güvenli olsa da, yaygın kullanılan şifrelemeyi kırabilecek “hata toleranslı bir kuantum bilgisayar”ın gelecekte mümkün olabileceği ve hazırlıkların şimdiden başlaması gerektiği belirtiliyor. Son aylarda kuantum riskine dair endişeler ana akıma taşındı. Google araştırmacıları, yeterince gelişmiş bir kuantum bilgisayarın bir gün Bitcoin’in kriptografisini kırabileceğini öngörüyor. Büyük kripto ekosistemleri de bu riske karşı önlemlerini planlamaya başladı. Ethereum Vakfı, kuantum bilgisayarlara karşı güvenli yeni dijital imza türleri önerirken, Solana ve diğer projeler kuantuma dayanıklı cüzdan tasarımları üzerinde çalışıyor. Raporda, mevcut kuantum makinelerinin Bitcoin, Ethereum ve diğer ağların temelini oluşturan kriptografiyi kırmaktan çok uzak olduğu, standart şifrelemenin kırılması için büyük bir mühendislik atılımına ihtiyaç duyulduğu vurgulanıyor.
Kelp DAO saldırısından elde edilen varlıkların bir kısmı artık hareket ettirilemiyor. Arbitrum Güvenlik Konseyi, pazartesi gecesi 30.766 ETH’yi (yaklaşık 71 milyon dolar) dondurdu. Cumartesi günü gerçekleşen 292 milyon dolarlık rsETH saldırısıyla bağlantılı fonlar, yalnızca Arbitrum yönetimiyle erişilebilecek bir ara cüzdana taşındı. Konsey, saldırganın kimliğiyle ilgili kolluk kuvvetlerinden gelen bilgiler doğrultusunda bu adımı attığını ve hiçbir Arbitrum kullanıcısı ya da uygulamasının etkilenmediğini açıkladı. Transfer, Arbitrum’un X’teki açıklamasına göre 20 Nisan saat 23:26 ET’de tamamlandı. Çalınan fonlar artık ilk tutan adresin kontrolünde değil.
Polymarket’te açılan bir kontrat, Kelp DAO’nun hafta sonu yaşanan 292 milyon dolarlık saldırıdan kaynaklanan zararı doğrudan etkilenenlerin ötesine yayma ihtimalinin düşük olduğunu gösteriyor. Bahisçiler, Kelp’in “zararı sosyalize etmesi” yani saldırıdan etkilenmeyen Ethereum’daki rsETH sahiplerinin de diğer zincirlerdeki kullanıcılarla birlikte zararı paylaşmasını sağlayacak bir mekanizma uygulama olasılığına %14 şans tanıyor. Saldırganlar, LayerZero altyapılı köprüden 116.500 rsETH çekerek token’ın 20’den fazla blok zincirindeki rezervlerini zayıflattı. Bu durum, bazı kullanıcıların artık tamamen Ethereum ile desteklenmeyen token’lara sahip olmasına yol açtı. “Zararı sosyalize etmek”, Kelp’in açığı tüm rsETH sahiplerine yayması ve kayıpları yalnızca köprünün etkilendiği zincirlerle sınırlı bırakmaması anlamına geliyor. Bu yaklaşımın en bilinen örneği, 2016’da Bitfinex’in 60 milyon dolarlık saldırı sonrası tüm kullanıcılarına zarar yüklemesiyle yaşanmıştı.
Kripto sektöründe uzun süredir beklenen Clarity Act’in nisan ayında ilerlemesi artık mümkün görünmüyor. Ancak ABD Senatosu’nda mayıs ayında yapılacak bir komite oturumu, kritik piyasa yapısı yasasının temmuz ayına kadar genel kurulda oylanmasını sağlayabilir. Yasal takvim daralırken, bir Senato danışmanı CoinDesk’e yaptığı açıklamada, Cumhuriyetçi Senatör Thom Tillis’in stablecoin getirileriyle ilgili bankacılarla yürüttüğü görüşmelerin birkaç hafta daha uzamasının süreci tamamen çıkmaza sokmadığını belirtti. Danışman, merkeziyetsiz finans (DeFi) korumalarına ilişkin önceki müzakerelerin ise büyük ölçüde çözüldüğünü ve komite onayının önünde çok az engel kaldığını ifade etti. Kripto sektörünün karşılaştığı başlıca sorunlardan biri, bankacılık sektörünün stablecoin ödüllerine yönelik itirazlarının aşılması halinde, tasarının Senato Bankacılık Komitesi’nden geçmesinin yalnızca ilk adım olması.
Tron’un kurucusu Justin Sun, ABD Başkanı Donald Trump’ın ailesinin desteklediği stablecoin ve kripto şirketi World Liberty Financial’a bugün dava açtı. Sun, projede sahip olduğu $WLFI token’larının haksız şekilde kilitlendiğini, dolandırıcı beyanlarda bulunulduğunu ve kendisine tehdit ve iftirada bulunulduğunu iddia etti. Davada, Sun’ın Trump’a verdiği desteğe de atıf yapıldı. Sun, World Liberty yönetiminin, kendisinin 2024’te World Liberty ekibi tarafından yatırım yapmaya davet edilmesinin ardından satın aldığı token’ları yasa dışı şekilde elinden almaya çalıştığını öne sürdü. Sun’ın iddiasına göre, World Liberty’ye 45 milyon dolar yatırarak $WLFI token’ı satın aldı ve bunu hem merkeziyetsiz finansın yaygınlaşmasına katkı sağlamak hem de Trump ailesinin projeyle olan ilişkisi nedeniyle tercih etti.
Bu içerik hazırlanırken faydalanılan kaynaklar: coindesk.com
