Haberler 
Coin Bilgisi 
Hakkımızda 
스파이더맨 ‘meme’ sahnesini andıran karşılıklı ‘suçlama yarışı’, 4.200 milyar wonluk devasa hack vakasının ardından iyice alevlenmiş durumda. Kelp DAO(Kelp DAO) ile LayerZero(LayerZero), saldırının asıl sorumluluğu konusunda doğrudan karşı karşıya gelmiş görünüyor.
Geçtiğimiz hafta sonunda gerçekleşen yaklaşık 290 milyon dolar (yaklaşık 426 milyar won) tutarındaki hack sonrasında Kelp DAO, LayerZero’nun yayımladığı ‘olay sonrası raporu’na itiraz eden ayrıntılı bir yanıt hazırlıyor. Konuya yakın kaynaklara göre Kelp ekibi, raporun sorumluluğu kendilerine yıkmaya çalıştığını düşünüyor ve bu yöndeki iç yazışmalar çoktan masaya yatırılmış durumda.
Kelp DAO, Ethereum(ETH) mevduatlarını ‘EigenLayer’ üzerinden değerlendirip getiri sağlayan ve bu varlıkları baz alarak rsETH token’ı üreten bir ‘likit restaking’ protokolü olarak çalışıyor. LayerZero ise bu rsETH varlıklarının farklı blok zincirleri arasında taşınmasını mümkün kılan bir ‘cross-chain’ mesajlaşma altyapısı sunuyor ve DVN (merkezsiz doğrulama ağı) üzerinden işlemlerin geçerliliğini teyit ediyor.
LayerZero, yayımladığı raporda saldırının temel nedeni olarak Kelp DAO’nun tercih ettiği ‘1/1 DVN’ doğrulama modelini işaret etti. ‘Tek doğrulayıcı’ mantığıyla çalışan bu yapı, yalnızca bir doğrulayıcı onay verdiğinde işlemi yürütüyor; bu nedenle sahtecilik ya da yetkisiz erişim durumunda sorunu tespit edip engelleyecek ek bir güvenlik katmanı bulunmadığı savunuluyor.
Kelp tarafı ise bu iddiaya doğrudan itiraz ediyor. Söz konusu doğrulama modelinin, LayerZero’nun sunduğu ‘varsayılan ayarlar’ paketinin parçası olduğunu ve protokol ekosisteminin yaklaşık yüzde 40’ının aynı yapıyı kullandığını öne sürüyor. Ayrıca 2024 Temmuz’dan bu yana yürütülen resmi yazışmalarda, bu yapının değiştirilmesine yönelik somut ya da ısrarcı bir tavsiye görmediklerini belirtiyorlar. ‘yorum: Kelp, güvenlik riskinin tasarımsal olarak LayerZero tarafında normalleştirildiği görüşünde.’
Paylaşılan teknik dokümanlara ve GitHub üzerindeki standart proje şablonlarına bakıldığında, LayerZero ekosisteminde ‘tek doğrulayıcıya dayalı’ DVN modelinin gerçekten de varsayılan seçenek olarak sunulduğu görülüyor. Bu da, tartışmanın yalnızca bir protokol tercihi değil, tüm altyapının risk modeli üzerine olduğunu gösteriyor.
Saldırının kendisi ise doğrudan LayerZero’nun doğrulama sunucularını hedef aldı. Saldırganlar önce bu doğrulama sunucusunu ele geçirdi, ardından normalde yedekleme görevi gören ‘sağlam’ sunucuyu devre dışı bırakmak için yoğun trafik saldırısı başlattı. Sistem, bu baskı altında bozuk sunucuya geçiş yapmak zorunda kaldı ve bu esnada yaklaşık 116.500 rsETH hırsızlar tarafından çekilip boşaltıldı.
Kelp ekibi, ‘kompromize edilen DVN altyapısının harici bir hizmet değil, doğrudan LayerZero’nun kendi altyapısı olduğunu’ vurguluyor ve saldırıyı ‘devlet destekli operasyonlara yakın seviyede sofistike’ olarak tanımlıyor. Buna karşın, çekirdek restaking sözleşmelerinin zarar görmediğinin, asıl hasarın yalnızca ‘bridge’ katmanında yoğunlaştığının altını çiziyorlar. ‘yorum: Kelp, kullanıcı fonlarının çekirdek protokol tarafında güvenli kaldığını özellikle öne çıkarıyor.’
Şirket, saldırının tespit edilmesinden itibaren 46 dakika içinde acil durdurma mekanizmasını devreye aldığını ve bu hızlı reaksiyon sayesinde yaklaşık 200 milyon dolarlık ek zararın önüne geçildiğini duyurdu. Bu iddia, kriz anında operasyonel reflekslerin önemine dikkat çekerken, altyapı tarafındaki kırılganlığı gölgede bırakmaya da yarıyor.
Dışarıdan bakan güvenlik uzmanları da sorumluluk tartışmasında LayerZero’nun söylemini temkinli karşılıyor. Yearn Finance geliştiricilerinden Banteg(@banteg), LayerZero’nun açık kaynak kodunu incelediğini ve ana blok zincirlerde ‘tek doğrulayıcıyı’ varsayılan yapı olarak kullanan DVN konfigürasyonunun yaygın olduğunu söylüyor. Bu da, hatanın yalnızca Kelp DAO’nun tercihine indirgenemeyeceği argümanını destekliyor.
Chainlink(LINK) topluluk yöneticisi Zach Rynes(Zach Rynes) ise daha da sert bir yorum yaparak, ‘LayerZero’nun kendi altyapısındaki sorunu Kelp’in üzerine yıktığını’ ifade ediyor. Ona göre asıl mesele, ‘varsayılan güvenlik modelinin’ yeterince çoklu doğrulayıcıya yayılmamış olması.
Artan eleştiriler üzerine LayerZero, tek doğrulayıcıya dayalı DVN mimarisi kullanan projelere artık mesaj imzalama hizmeti sunmayacağını açıkladı. Böylece, ekosistemdeki çok sayıda protokolün altyapılarını gözden geçirmeleri ve ‘çoklu doğrulayıcı’ ya da benzeri daha güvenli modellere geçmeleri fiilen zorunlu hale geliyor. ‘yorum: Bu karar, hem güvenlik çıtasını yükselten hem de güncel saldırının sorumluluğundan uzaklaşma çabası olarak okunabilir.’
Sonuçta yaşananlar, ‘cross-chain’ altyapılarda ‘tekil arıza noktası(Single Point of Failure)’ riskinin hâlâ tam anlamıyla çözülemediğini ortaya koyuyor. Standart olarak sunulan ayarların güvenlik seviyesi, altyapı sağlayıcı ile protokol geliştiricileri arasındaki sorumluluk paylaşımı ve kullanıcı fonlarının hangi katmanda ne ölçüde korunduğu, DeFi ekosisteminde daha uzun süre tartışılacak gibi görünüyor. Bu son olay, hem geliştiricilere hem de yatırımcılara ‘varsayılan ayarlar’ın çoğu zaman ‘güvenli ayarlar’ anlamına gelmediğini sert bir şekilde hatırlatmış durumda.
Yorum 0