Katmanlar arası birlikte çalışabilirlik sağlayan bir protokol olan LayerZero, 18 Nisan’da Kelp DAO’nun zincirler arası köprüsünden yaklaşık 292 milyon dolarlık rsETH’nin çalındığı saldırının ardından iletişim sürecindeki hataları nedeniyle kamuoyundan özür diledi. Bu açıklama, protokolün daha önce “tam olarak tasarlandığı gibi çalıştı” şeklindeki post-mortem değerlendirmesinden önemli bir ton değişikliğine işaret ediyor.
LayerZero, blog yazısında son üç haftadaki iletişimlerinin yetersiz olduğunu kabul etti. Şirket, kapsamlı bir post-mortem hazırlamaya öncelik verdiklerini ancak doğrudan iletişimle başlamaları gerektiğini belirtti.
Protokol, saldırının Kuzey Kore bağlantılı Lazarus Grubu tarafından gerçekleştirildiğini ve iç RPC düğümlerinin ele geçirildiğini açıkladı. LayerZero’nun Merkeziyetsiz Doğrulayıcı Ağı (DVN), kaynak zincir durumunu okumak için bu düğümlere güveniyordu. Saldırganlar, bu düğümlerin veri akışını manipüle ederken aynı anda LayerZero’nun harici RPC sağlayıcılarına DDoS saldırısı düzenledi. Bu durum, DVN’nin ele geçirilmiş altyapıya yönelmesine ve gerçekte gerçekleşmeyen işlemleri onaylamasına yol açtı. LayerZero, saldırıyı daha önce Lazarus’un TraderTraitor alt grubuna atfetmişti.
LayerZero, daha önce direnç gösterdiği bir noktayı da kabul etti: Yüksek değerli işlemlerde DVN’nin tek doğrulayıcı olarak kullanılmasına izin verilmemesi gerektiğini belirtti. Şirket, geliştiricilerin kendi güvenlik yapılandırmalarını seçmesi gerektiğine inandıklarını ancak DVN’nin 1/1 doğrulayıcı olarak kullanılmasına izin vererek hata yaptıklarını ifade etti. Bu yaklaşım, LayerZero’nun ilk açıklamasında Kelp DAO’nun yapılandırma tercihlerine yüklediği sorumluluğa kıyasla önemli bir geri adım anlamına geliyor.
Kelp DAO ise LayerZero’nun kendi dokümantasyonunda, hızlı başlangıç rehberlerinde ve geliştirici örneklerinde tek doğrulayıcı kurulumunun varsayılan olarak önerildiğini belirterek bu iddiaya itiraz etti. Kelp’in referans gösterdiği bir Dune analizine göre, saldırı sırasında yaklaşık 2.665 aktif LayerZero OApp sözleşmesinin %47’si aynı yapılandırmayı kullanıyordu.
LayerZero, saldırının ağdaki toplam uygulamaların yaklaşık %0,14’ünü ve LayerZero üzerinden taşınan varlıkların değerinin yaklaşık %0,36’sını etkilediğini açıkladı. 19 Nisan’dan bu yana protokol üzerinden 9 milyar doların üzerinde varlık transfer edildiği belirtildi.
Çoklu İmza (Multisig) İmzalayıcı Açıklaması
Blog yazısında daha önce raporlanmamış bir operasyonel güvenlik olayı da paylaşıldı. Yaklaşık üç buçuk yıl önce, LayerZero’nun multisig imzalayıcılarından biri, kişisel bir işlemi yanlışlıkla üretim donanım cüzdanı üzerinden gerçekleştirdi. Şirket, ilgili imzalayıcının multisig’den çıkarıldığını, cüzdanların değiştirildiğini ve her imzalama cihazına anomali tespit yazılımı eklendiğini bildirdi.
Bu açıklama, LayerZero’nun multisig imzalayıcılarının operasyonel güvenliğine yönelik devam eden incelemeler sırasında geldi. Zincir üstü araştırmacılar ve güvenlik uzmanları, üretim multisig anahtarlarının farklı DEX işlemlerinde kullanıldığına dair bulgular paylaştı. LayerZero CEO’su Bryan Pellegrino, bu işlemlerin eski imzalayıcılar tarafından yapılan OFT testleri olduğunu ve ilgili kişilerin görevden alındığını belirtti.
LayerZero’dan Değişiklik Planları
LayerZero, saldırı sonrası yaptığı değişiklikleri de açıkladı. LayerZero Labs DVN artık 1/1 DVN yapılandırmalarına hizmet vermiyor. Tüm ağ yollarında varsayılan ayarlar, mümkün olan yerlerde en az beş doğrulayıcı gerektirecek şekilde güncelleniyor; yalnızca üç DVN bulunan zincirlerde ise asgari üç doğrulayıcı şartı getirildi. Şirket, istemci çeşitliliği için Rust ile yazılmış ikinci bir DVN istemcisi geliştiriyor ve RPC altyapısını daha ayrıntılı oy çokluğu kontrollerine olanak tanıyacak şekilde yeniden yapılandırıyor.
Altyapı tarafında ise LayerZero, kendi multisig eşiğini 3/5’ten 7/10’a çıkarmayı planlıyor. Bu amaçla geçen yıl tanıttığı açık kaynaklı multisig aracı OneSig’i kullanacak. OneSig, imzalayıcıların işlemleri indirip yerel olarak hash’lemesini sağlayarak arka planda yetkisiz işlem eklenmesini önlüyor. Ayrıca, varlık ihraççılarının güvenlik ayarlarını yapılandırıp izleyebileceği ve riskli yapılandırmaları tespit eden anomali tespiti içeren Console adlı bir platform geliştiriliyor.
LayerZero için Zorlu Dönem
LayerZero’nun özrü, protokol için zorlu bir döneme denk geliyor. Saldırıdan bu yana iki büyük protokol, zincirler arası altyapılarını Chainlink’in CCIP çözümüne taşıdı. Kelp DAO, bu hafta başında LayerZero’dan ayrıldığını duyurarak saldırı sonrası platformdan ayrılan ilk büyük protokol oldu. Solv Protocol ise 700 milyon doların üzerinde tokenlaştırılmış Bitcoin’i güvenlik endişeleri nedeniyle LayerZero’dan taşıyacağını açıkladı.
Bu süreçte, saldırı sonrası oluşturulan DeFi United kurtarma girişimi, Ethereum ve stablecoin’lerde 300 milyon doların üzerinde fon topladı. LayerZero, 5.000 ETH’si bağış, 5.000 ETH’si ise kredi olmak üzere toplam 10.000 ETH ile katkı sağladı. Aave, olaydan kaynaklanan 124 milyon ila 230 milyon dolar arasında kötü borçla karşı karşıya. Arbitrum DAO, kurtarma çalışmaları için dondurulmuş 30.766 ETH’nin serbest bırakılmasına onay verdi. Bir yargıç, Kuzey Kore terör mağdurları ve alacaklılarının itirazına rağmen transferin devamına izin verdi.
LayerZero, dış güvenlik ortaklarının çalışmalarını tamamlamasının ardından resmi post-mortem raporunu yayımlayacağını açıkladı.
Bu içerik hazırlanırken faydalanılan kaynaklar: theblock.co
