Haberler 
Coin Bilgisi 
Hakkımızda 
Kelp DAO, LayerZero’yu sert bir dille hedef aldı. Yaklaşık 292 milyon dolarlık rsETH köprü saldırısı sonrasında taraflar, ‘doğrulayıcı (DVN) yapılandırma sorumluluğu’ konusunda karşı karşıya geldi. Kelp, *“sorun yok”* denilen varsayılan ayarların aslında saldırının merkezinde yer aldığını savunuyor.
Kelp DAO, kısa süre önce yayımladığı notta LayerZero ekibinin *‘1-of-1 doğrulayıcı(DVN)’* yapısını önceden incelediğini ve onay verdiğini iddia etti. Bu iddia, LayerZero’nun olay sonrası yayımladığı raporda aynı yapıyı temel zafiyet sebebi olarak göstermesiyle açıkça çelişiyor.
LayerZero, 19’unda (yerel saatle) paylaştığı raporda Kelp’in rsETH uygulamasının tek bir doğrulayıcıya bağımlı çalıştığını ve bunun şirketin önerdiği *‘çoklu-DVN yapısıyla’* ters düştüğünü belirtmişti. Ancak Kelp, yaklaşık 2,5 yıla yayılan ve toplam 8 entegrasyon görüşmesinde LayerZero tarafından bu yapının güvenlik risklerine dair hiçbir ciddi uyarı almadığını öne sürüyor.
Kelp’in paylaştığı Telegram ekran görüntülerinde, LayerZero ekibinin *“varsayılan ayarları kullanmanızda sorun yok”* anlamına gelen ifadeleri de yer alıyor. Burada sözü edilen *‘defaults (varsayılanlar)’* tam olarak daha sonra saldırının tetikleyicisi olduğu söylenen 1-of-1 DVN yapısı olduğu için tartışma büyümüş durumda. *yorum: Bu noktada, LayerZero’nun yazılı/on-chain teknik dokümantasyonu ile sohbet kayıtları arasında uyumsuzluk iddiası gündemde.* Öte yandan bu ekran görüntüleri bağımsız olarak henüz doğrulanmış değil.
Kelp, LayerZero’nun geliştirme şablonlarını ve dokümantasyonunu da tartışmanın merkezine koyuyor. *Bug bounty* kapsam belgeleri, *OFT Quickstart* rehberleri ve GitHub’daki örnek kodlarda *tekil DVN konfigürasyonunun* fiilen *“varsayılan davranış”* gibi sunulduğunu savunuyor. Şirket ayrıca LayerZero’nun bug bounty politikasında *“uygulama yapılandırma hatalarından doğan zararlar”* için sorumluluğu açıkça dışarıda tuttuğunu hatırlatıyor; yani doğrulayıcı ağ yapısının nihai sorumluluğunun geliştiricide bırakıldığını vurguluyor.
Güvenlik araştırmacısı Sujit Somraaj(Sujith Somraaj) da benzer bir saldırı modelini daha önce LayerZero’ya bildirdiğini, ancak bunun bir güvenlik açığı olarak kabul edilmediğini söylüyor. Somraaj, *“Bug bounty sürecinde sorun değil denilen koşullar, gerçek dağıtımda ortadan kaldırıldı ve sonuçta yaklaşık 295 milyon dolarlık bir saldırı gerçekleşti”* diyerek LayerZero’nun risk değerlendirmesini eleştiriyor.
Saldırı sonucunda toplam 116.500 rsETH, yani yaklaşık 292 milyon dolar (yaklaşık 4,246 milyar won) sistemden çekildi. Buna ek olarak 100 milyon doların (yaklaşık 1,454 milyar won) üzerinde *sahte işlem* de onaylanmış görünüyor. LayerZero, saldırının arkasında Kuzey Kore bağlantılı *‘Lazarus Grubu’* olduğunu öne sürüyor. Şirketin anlatımına göre saldırgan, DVN’in kullandığı RPC düğüm listesini ele geçirdi, iki düğümü kontrol altına alıp zararlı ikili dosyalarla değiştirdi. Ardından kalan sağlıklı düğümlere DDoS saldırısı düzenleyerek hizmet dışı bıraktı ve sistemin otomatik olarak bozulmuş düğümlere geçmesini sağladı. Böylece var olmayan işlemleri geçerliymiş gibi onaylatabildi.
LayerZero cephesi, *“protokolün tasarlandığı şekilde davrandığını”* savunuyor ve olay sonrası poliçeyi değiştirerek 1-of-1 yapılandırmaların mesaj imzalamasını engellediklerini açıkladı. *yorum: LayerZero, sorunu ‘kötü yapılandırma + dışsal saldırı kombinasyonu’ olarak çerçevelerken; Kelp tarafı, bu yapılandırmanın bizzat sistem tarafından teşvik edilen bir varsayılan olduğunu öne sürüyor.*
Kelp DAO, saldırının ardından rsETH köprüsünü LayerZero altyapısından çıkararak Chainlink(LINK) tabanlı *‘Çapraz Zincir Karşılıklı Çalışabilirlik Protokolü (CCIP)’* üzerine taşıyacağını duyurdu. Aynı zamanda 1-of-1 DVN yapısının *istisnai bir istisna* değil, yaygın bir pratik olduğunun da altını çiziyor. CoinGecko ve Dune Analytics verilerine göre tüm LayerZero OApp’lerinin yaklaşık %47’si benzer tekil doğrulayıcı mimarisiyle çalışıyordu ve yaklaşık 4,5 milyar dolarlık (yaklaşık 6,546 milyar won) varlık benzer bir risk altında bulunuyordu.
Kelp, saldırıyı LayerZero’dan daha önce tespit ettiklerini de belirterek, LayerZero’nun izleme ve uyarı mekanizmalarını sorguluyor. Böylece tartışma, kripto ekosisteminde uzun süredir gündemde olan *‘protokol tasarım sorumluluğu’* ile *‘uygulama yapılandırma sorumluluğu’* ayrımını yeniden alevlendirmiş durumda. Bu olay, çapraz zincir köprü güvenliğinde *yapısal riskler*, *varsayılan konfigürasyonlar* ve *operasyonel sorumluluk sınırları* üzerine tartışmaları daha da derinleştirecek gibi görünüyor.
Yorum 0