KelpDAO, merkeziyetsiz finans protokollerinde birlikte çalışabilirliği artırmak amacıyla geliştirdiği rsETH token’ının LayerZero’dan Chainlink’in Cross-Chain Interoperability Protocol (CCIP) altyapısına taşınacağını açıkladı. Bu karar, 18 Nisan’da köprü kontratında yaşanan ve 116.500 rsETH’nin çalınmasıyla sonuçlanan büyük bir güvenlik ihlalinin ardından geldi. Söz konusu varlıklar, daha sonra Aave v3 üzerinde teminat olarak kullanılarak merkeziyetsiz borç verme piyasalarında ciddi bir baskı yarattı.
KelpDAO, Chainlink’in Cross-Chain Token standardına geçişin tam güvenlik sağlamak için zorunlu olduğunu belirtti. Protokol, tek bir doğrulayıcıya bağımlılığı azaltmayı ve merkeziyetsiz bir oracle ağı kullanmayı hedefliyor. Bu adım, yaşanan saldırı sonrası LayerZero’nun güvenlik altyapısına duyulan güvenin azalmasının bir yansıması olarak öne çıkıyor.
Saldırı sonucunda merkeziyetsiz finans ekosisteminde toplam kayıplar 300 milyon doları aştı. Kuzey Kore bağlantılı Lazarus Grubu ile ilişkilendirilen saldırganlar, LayerZero’nun zincir dışı altyapısındaki ele geçirilmiş RPC düğümlerini kullanarak merkeziyetsiz doğrulayıcı ağına sahte işlemleri onaylattı.
KelpDAO ile LayerZero Arasındaki Anlaşmazlık
Saldırının nedeni konusunda KelpDAO ile LayerZero arasında ciddi bir görüş ayrılığı bulunuyor. KelpDAO, saldırıya açık olan 1’e 1 doğrulayıcı kurulumunun LayerZero tarafından onaylandığını savunuyor. LayerZero ise olay sonrası yayımladığı raporda bu konfigürasyonu kullanıcı hatası olarak nitelendirip önerilen çoklu doğrulayıcı modeline aykırı olduğunu belirtti.
KelpDAO, Dune Analytics verilerine atıf yaparak LayerZero kullanıcılarının neredeyse yarısının bu özel konfigürasyonu kullandığını açıkladı. Protokol, altyapı sağlayıcısının bu risk hakkında yeterli bilgilendirme yapmadığını öne sürdü. LayerZero’nun hızlı başlangıç kılavuzları ve varsayılan şablonlarının da 1’e 1 kurulumu önerdiğine dikkat çekildi.
Paylaşılan Telegram yazışmalarında, LayerZero ekibi üyelerinin KelpDAO’ya varsayılan ayarların güvenli olduğu yönünde güvence verdiği iddia edildi. Bir yazışmada, LayerZero Labs doğrulayıcısının kullanılmasında bir sakınca olmadığı açıkça belirtilmişti. KelpDAO, bu durumun savunmasız konfigürasyonun açıkça onaylandığını gösterdiğini ileri sürdü.
KelpDAO ayrıca LayerZero’nun izleme sistemlerinin saldırıyı tespit edemediğini, sorunu saldırganlar ek fonları çekmeden önce kendi başına fark ettiğini belirtti. Protokol, köprü kontratlarını duraklatarak 100 milyon dolarlık sahte işlemi engellemeyi başardı.
RsETH Güvenliği Nasıl Değişecek?
Geçişle birlikte rsETH, LayerZero’nun OFT standardından Chainlink’in Cross-Chain Token standardına taşınıyor. Bu yeni yapı, işlemlerin birden fazla bağımsız doğrulayıcı tarafından onaylanmasını gerektiriyor. Böylece, 1’e 1 kurulumda görülen tekil hata noktası riski ortadan kaldırılıyor.
KelpDAO, Chainlink’in yedi yılı aşkın süredir 30 trilyon doların üzerinde değeri güvenli şekilde aktaran merkeziyetsiz oracle ağı olarak güçlü bir operasyonel geçmişe sahip olduğunu vurguladı. Chainlink’in, küresel çapta yaşanan birçok kesintiye rağmen kayıpsız şekilde çalışmaya devam ettiği belirtildi.
Bağımsız güvenlik incelemeleri, LayerZero’nun varsayılan dağıtımında güvenlik açıkları bulunduğunu ortaya koydu. Araştırmacılar, altyapıda Web Application Firewall ile korunmayan açık genel ağ geçitleri tespit etti. Bu bulgular, saldırının sağlayıcının temel sistemlerini hedef aldığını destekliyor.
Çapraz Zincir Altyapısı İçin Sonuçlar
Yaşanan olay, merkeziyetsiz finans güvenlik standartlarında daha geniş kapsamlı bir değişimi tetikledi. Yatırımcılar, birlikte çalışabilirlik protokollerinin güvenilirliğini daha yakından sorgulamaya başladı. Tartışma, protokol sağlayıcılarının geliştirici güvenliği konusundaki sorumluluklarına dair endişeleri öne çıkarıyor.
Saldırı, çapraz zincir sistemlerinde merkezi doğrulamanın getirdiği riskleri gözler önüne serdi. Yeterince çeşitlendirilmemiş tek bir düğüm veya doğrulayıcı, sahte işlemleri onaylayabiliyor. Sektör, bu büyük güvenlik açığının ardından çapraz zincir altyapı sağlayıcılarına olan güveni yeniden değerlendiriyor.
Arbitrum ağında dondurulan 71 milyon dolarlık fonun akıbetiyle ilgili hukuki süreç devam ediyor. Bu davanın sonucu, protokollerin çapraz zincir güvenliğine yaklaşımını daha da şekillendirebilir. KelpDAO’nun geçişi, çoklu doğrulayıcı mimarilerinin gerekliliğine dair önemli bir örnek teşkil ediyor.
Chainlink, KelpDAO’nun geçiş kararına destek verdiğini açıkladı. Sağlayıcı, merkeziyetsiz finansın büyümesini destekleyecek yüksek güvenlikli altyapı ihtiyacına vurgu yaptı. Chainlink CCIP’ye yönelim, sektörde çoklu doğrulayıcı doğrulama modellerinin benimsenmesini hızlandırabilir.
KelpDAO’nun LayerZero’dan Chainlink’e geçiş kararı, sistemik güvenlik açıklarına karşı pragmatik bir yaklaşımı yansıtıyor. Protokol, mevcut entegrasyonları sürdürmek yerine kullanıcı varlıklarının güvenliğini önceliklendirdi. Bu adım, çapraz zincir bağımlılıklarını gözden geçiren diğer projeler için de emsal teşkil ediyor.
Saldırı, zincir dışı altyapıdaki zafiyetlerin zincir üstü varlık bütünlüğünü nasıl etkileyebileceğini gösterdi. Ele geçirilen RPC düğümleri, doğrulayıcı ağının güvendiği verilerin manipüle edilmesine olanak tanıdı. Bu durum, çapraz zincir veri akışının tamamının güvenliğinin kritik önemini ortaya koyuyor.
Yatırımcılar, geçiş sürecini olası ek riskler açısından yakından izliyor. Chainlink CCIP’ye başarılı geçişin, normal piyasa koşullarında test edilmesi bekleniyor. Uzun vadede rsETH’nin likiditesi ve benimsenmesi üzerindeki etkiler ise zamanla netleşecek.
Bu içerik hazırlanırken faydalanılan kaynaklar: ainvest.com
