LayerZero, ABD saatine göre cuma gecesi yaptığı açıklamada, yüksek değerli kripto varlıkların güvenliğini sağlamak için kendi doğrulama altyapısına zayıf bir yapılandırma ile izin verdiğini ve bunun bir hata olduğunu kabul etti. Bu açıklama, Kuzey Kore bağlantılı saldırganlarla ilişkilendirilen ve 292 milyon dolarlık kayba yol açan Kelp DAO hack’inin ardından haftalar süren karşılıklı suçlamalardan sonra dikkat çekici bir ton değişikliğine işaret ediyor.
LayerZero’nun bu itirafı, nisan ayında gerçekleşen hack’in sorumluluğu konusunda LayerZero ile Kelp arasında haftalarca süren kamuoyu önündeki tartışmaların ardından geldi. LayerZero, olayın başlangıcında hack’i Kelp’in uygulama düzeyindeki yapılandırma hatasına bağlamıştı.
LayerZero, cuma günü yayımladığı blog yazısında, “Her şeyden önce: Gecikmiş bir özür,” ifadelerine yer verdi.
Şirket, ilk etapta Kelp’i suçlamış ve protokolün, yalnızca bir merkeziyetsiz doğrulayıcı ağının (DVN) zincirler arası transferleri onayladığı riskli bir “1-of-1” yapılandırmayı tercih ettiğini savunmuştu. Bu durum, tek bir hata noktasına yol açtı. DVN, blok zincirleri arasında varlık transferlerinin meşruiyetini doğrulayan altyapının bir parçası olarak görev yapıyor.
Şirket, “Yüksek değerli işlemler için DVN’mizin 1/1 DVN olarak çalışmasına izin vererek hata yaptık. DVN’mizin neyi güvence altına aldığını yeterince incelemedik ve bu nedenle ortaya çıkan riski göremedik. Sorumluluk bize ait,” açıklamasında bulundu.
LayerZero Labs, bu tür riskleri önlemek amacıyla, DVN’sinin artık 1/1 DVN yapılandırmalarında hizmet vermeyeceğini duyurdu. Ayrıca, blogda belirtildiği üzere, “Tüm varsayılan ayarlar mümkün olan her yerde 5/5’e, yalnızca 3 DVN’nin mevcut olduğu zincirlerde ise en az 3/3’e çıkarılıyor.”
Zincirler arası köprüler, farklı blok zinciri ağları arasında dijital transfer altyapısı olarak işlev görüyor. Ancak uzun süredir kripto altyapısının en zayıf halkalarından biri olarak değerlendiriliyor.
LayerZero, temel protokolünün etkilenmediğini vurguladı ve geliştiricilerin kendi güvenlik varsayımlarını yapılandırmaktan sorumlu olduğunu yineledi.
Şirket, “LayerZero protokolü etkilenmedi,” açıklamasını yaparken, saldırının LayerZero Labs DVN tarafından kullanılan dahili RPC altyapısına yönelik olduğunu ve aynı anda harici RPC sağlayıcılarının da dağıtık hizmet reddi (DDoS) saldırılarından etkilendiğini belirtti.
Buna ek olarak, LayerZero, üç buçuk yıl önce multisig imzacılarından birinin kişisel işlemler için multisig donanım cüzdanını kullandığını ve kendi kişisel donanım cüzdanını kullanmayı planladığını açıkladı. Şirket, bu tür uygulamalara karşı önlem aldığını ve “Bu açıkça doğru bir uygulama değil,” dedi.
Şirket, ilgili imzacının multisig’den çıkarıldığını, cüzdanların taşındığını ve o tarihten bu yana imzalama cihazlarına yönelik güvenlik uygulamalarının güncellendiğini, her cihaza yerelleştirilmiş anomali tespit yazılımı eklendiğini ve OneSig adında özel bir multisig çözümü geliştirildiğini bildirdi.
Chainlink dahil olmak üzere rakipler, bu gelişmelerin etkisiyle, güvenlik sağlayıcılarını yeniden değerlendiren protokollerden yeni iş fırsatları elde etmeye çalışıyor.
Kelp, rsETH köprüsünü Chainlink’in Cross-Chain Interoperability Protocol’üne taşıdı. Solv Protocol ise bu hafta yaptığı açıklamada, 700 milyon doların üzerinde tokenlaştırılmış Bitcoin altyapısını LayerZero’dan başka bir platforma aktardığını ve bu kararın yeni bir güvenlik değerlendirmesinin ardından alındığını duyurdu.
Bu içerik hazırlanırken faydalanılan kaynaklar: coindesk.com
