Haberler 
Coin Bilgisi 
Hakkımızda 
KelpDAO(KelpDAO)’da yaklaşık 2 milyar 9200 milyon dolar (yaklaşık 4 trilyon 320 milyar won) değerinde varlık çalındı. Bu olay, farklı blokzincirleri birbirine bağlayan ‘kelime’bridget’lerin kripto ekosistemindeki en zayıf halka olmaya devam ettiğini bir kez daha gösteriyor.
Bu saldırı, LayerZero(LayerZero)’nun ‘kelime’cross-chain’ mesajlaşma sisteminin kullanımı sırasında gerçekleşti. Bridge’ler, Ethereum(ETH) gibi farklı ağlar arasında varlık transferini sağlayan temel altyapı konumunda. Ancak son birkaç yılda milyarlarca dolarlık saldırılar tekrarlanırken, bu yapının ‘kelime’yapısal sınırları’ ve tasarım sorunları giderek daha fazla tartışılıyor.
Kaynaklara göre saldırı, 24’ünde (yerel saatle), LayerZero altyapısı üzerinden KelpDAO’nun kullandığı çapraz zincir mekanizmasındaki zayıf noktaların hedef alınmasıyla gerçekleşti. Saldırganlar, kullanıcı fonlarının tutulduğu akıllı sözleşmelerle etkileşime geçen node yapısını ele geçirerek sistemin kabul ettiği veriyi manipüle etti.
Uzmanlar, sorunun basit bir ‘kelime’kod hatası’ndan çok, bridge mimarisinin temelindeki tasarım zafiyetlerinden kaynaklandığını düşünüyor. Bridge’ler, bir zincirde kilitlenen varlıkların gerçekten orada durduğunu diğer zincire ‘kanıtlamak’ zorunda. Fakat çoğu sistem, bu doğrulamayı zincirler arasında doğrudan yapamıyor; onun yerine ayrı bir altyapıya veya sınırlı sayıda doğrulayıcı grubuna güveniyor.
Espresso Systems CEO’su Ben Fisch(Ben Fisch), “çoğu bridge, diğer zincirde neler olduğunu tam anlamıyla doğrulamıyor, onun yerine küçük bir sistemin ilettiği bilgilere güveniyor” diyerek bu bağımlılığa dikkat çekiyor. ‘yorum: Burada temel eleştiri, köprülerin gerçekten trustless olmaktan uzak, sınırlı sayıda aracıya bağlı olması.’
KelpDAO saldırısında da aynı zayıf halka kullanıldı. Saldırgan, node yapısını kontrol altına alarak sisteme ‘kelime’yanlış veri’ enjekte etti. Bridge ise tasarlandığı gibi çalıştı; ancak doğruluğunu bağımsız olarak test edemediği bu bilgiyi sorgulamadan kabul etti. Yani sorun, sistemin bozulmasından çok, ‘yanlış girdiyi bile doğruymuş gibi işleyen bir tasarım’a dayanıyordu.
Bridge saldırıları her seferinde farklı tekniklerle gündeme gelse de özünde benzer bir tablo öne çıkıyor. Özel anahtar hırsızlığı, akıllı sözleşme açıkları, aşırı merkezi doğrulama yapıları, sosyal mühendislik saldırıları ve ekonomik teşviklere dayalı manipülasyonlar bir araya gelerek ‘kelime’karmaşık saldırı yüzeyleri’ oluşturuyor.
1inch eş kurucusu Sergej Kunz(Sergej Kunz), “kod problemleri, merkezi yapı, ekonomik saldırılar gibi farklı zayıflıklar iç içe geçmiş durumda; bridge’ler adeta başarısızlık örneklerinin bir koleksiyonu” diyerek bu durumu özetliyor.
Kullanıcı açısından bakıldığında süreç basit görünüyor: Birkaç tıklamayla varlıklar bir ağdan diğerine geçiyor. Perde arkasında ise çok daha karmaşık bir mekanizma çalışıyor. Önce token, kaynak zincirde kilitleniyor. Ardından ayrı bir doğrulama sistemi bu işlemi onaylıyor ve hedef zincirde ‘kelime’wrapped token’ basıyor. Tüm risk, bu doğrulama aşamasında yoğunlaşıyor.
Eğer doğrulama sistemi ele geçirilirse, gerçekte var olmayan varlıklar bile üretilebiliyor. Böylece piyasa, ‘boşluktan yaratılan’ token’ları gerçek değeri varmış gibi işlemeye başlıyor. Bu nedenle bridge tasarımı, kimin ve hangi sistemi ‘kelime’güvenilir kaynak’ olarak benimsediğine göre güvenli ya da savunmasız hale geliyor.
Bridge saldırılarının asıl tehlikesi, tek bir protokolle sınırlı kalmaması. Bridge üzerinden basılan token’lar, DeFi(DeFi) ekosisteminde teminat, likidite ve getiri stratejilerinin merkezinde yer alıyor. Bu varlıklar, farklı protokoller arasında zincirleme şekilde kullanıldığından, tek bir noktadaki bozulma çok sayıda platforma yayılabiliyor.
Zarar görmüş varlıkların normal token’lar gibi kabul edilmesi, diğer DeFi uygulamalarına da bulaşan bir ‘kelime’bulaşma etkisi’ yaratıyor. Kunz, “böylece bir tür finansal enfeksiyon zinciri oluşuyor, ancak çoğu kullanıcı bu yapısal riski tam olarak kavrayamıyor” diyor. ‘yorum: Özellikle likidite havuzları ve teminatlı borç protokolleri bu tür bulaşma riskine en açık alanlar.’
Çözüm tarafında ise çeşitli öneriler gündemde. Tek bir veri kaynağına bağımlılığı azaltmak, bağımsız ve dağıtık doğrulama sistemleri kurmak, kriptografik kanıtlara dayalı doğrudan zincirler arası doğrulama yapmak bunların başında geliyor. Zero-knowledge(ZK) tabanlı kanıt sistemleri ve hafif istemci(‘light client’) yaklaşımları, daha güvenli bridge modelleri için umut veren alanlar olarak gösteriliyor.
Bununla birlikte fiili uygulamada birçok proje, aynı altyapı sağlayıcılarına veya aynı doğrulayıcı kümelerine yaslanıyor. Dolayısıyla tek bir güven katmanı çöktüğünde, benzer yapıyı paylaşan projelerin tamamı tehlikeye girebiliyor. Donanım tabanlı güvenlik çözümleri, gelişmiş izleme ve alarm sistemleri ile çoklu imza yapıları da güçlendirilmiş güvenlik önlemleri arasında yer alıyor; ancak bunların hayata geçirilme hızı görece yavaş.
Sektördeki rekabet, bu yavaşlığın temel nedenlerinden biri. Projeler, çoğu zaman ‘kelime’hızlı lansman’ ve ‘kullanıcı kazanımı’nı güvenlik yatırımlarının önüne koyuyor. Sonuç olarak, kâğıt üzerinde bilinen ve önerilen güvenlik önlemleri olmasına rağmen, üretim ortamındaki bridge’ler çoğu zaman ‘minimum çalışır ürün’ mantığıyla devreye alınıyor.
Genel kanı, mevcut yapısal sorunlar çözülmedikçe benzer saldırıların tekrar tekrar yaşanacağı yönünde. Bridge’ler, blokzincirler arası birlikte çalışabilirlik ve ölçeklenebilirlik için vazgeçilmez kabul edilirken, aynı zamanda kripto piyasalarındaki en büyük ‘kelime’sistemik risk’ kaynağı olmaya devam ediyor.
Yorum 0