Haberler 
Coin Bilgisi 
Hakkımızda 
ABD merkezli blok zincir altyapı şirketi LayerZero, yaklaşık 2억 9200 milyon dolar (yaklaşık 4,27 trilyon won) tutarındaki büyük ölçekli *hack* olayıyla ilgili olarak sorunun ‘kendi güvenlik yapılandırma hatasından’ kaynaklandığını resmen kabul etti. Şirket, o güne kadar sorumluluğu geliştirici ekip Kelp DAO’ya(Kelp DAO) yükleyen açıklamalar yapıyordu; bu yeni açıklama, ‘*kripto güvenlik*’ tartışmalarında önemli bir ‘tutumsal kırılma’ olarak görülüyor.
LayerZero, 9’unda (yerel saatle), şirket blogunda yayınladığı metinde “*Hata yaptık* ve bunu açıkça kabul ediyoruz. Gecikmiş de olsa tüm ekosistemden özür diliyoruz” ifadelerini kullandı. Bu açıklama, *Nisan ayında gerçekleşen hack saldırısı* sonrasında haftalarca süren karşılıklı suçlamalar sürecinde önceki savunma hattını terk ettiği anlamına geliyor.
Şirket, daha önce Kelp DAO’nun tekil doğrulama yapısı olan ‘1-of-1’ DVN(merkezsiz doğrulama ağı) yapılandırmasını tercih ederek “riski kendisinin yarattığını” iddia etmişti. DVN, farklı blok zincirler arasında gerçekleşen varlık transferlerinin ‘geçerliliğini’ onaylayan kritik bir altyapı bileşeni olarak tanımlanıyor. Ancak LayerZero, son açıklamasında “Yüksek tutarlı işlemler için DVN’in 1’e 1 yapılandırmayla çalışmasına izin vermek bizim *yanlış mühendislik kararımızdı*” diyerek, “Neyi koruduğumuzu yeterince kontrol edemedik, nihai sorumluluk bizde” ifadesiyle geri adım attı.
Şirket, yeniden benzer bir zafiyet yaşanmaması için *güvenlik mimarisini kökten elden geçireceğini* duyurdu. Buna göre artık 1’e 1 DVN yapılandırması hiç desteklenmeyecek; varsayılan doğrulama modeli ‘5/5 çoklu doğrulama’ olarak değiştirilecek. Tüm ağlarda en az ‘3/3 çoklu doğrulama’ standardının korunması hedefleniyor. Bu adım, *cross-chain köprüler* alanında “güvenlik eşiğinin zorunlu olarak yükseltilmesi” şeklinde yorumlanıyor(yorum).
Farklı blok zincirleri birbirine bağlayan köprüler, *kripto altyapısı* için vazgeçilmez kabul edilse de uzun süredir “en kırılgan saldırı yüzeyi” olarak eleştiriliyor. Bu olayda da şirketin dahili RPC altyapısına yönelik saldırı ile dış servisleri hedef alan ‘Dağıtık Hizmet Engelleme (DDoS)’ saldırısının aynı anda gerçekleşmesi, hasarı büyüttü. LayerZero, buna karşın “protokol çekirdeğinin bozulmadığını” savunuyor ve “güvenlik yapılandırmasının nihai sorumluluğunun geliştirici ekipte olduğu” yönündeki önceki argümanını kısmen korumaya devam ediyor.
Olayla birlikte, şirketin geçmişe dönük *iç güvenlik zafiyetleri* de gün yüzüne çıktı. Yaklaşık 3,5 yıl önce, çoklu imzalı (multi-sig) cüzdan imzacılarından birinin, kişisel işlemleri için şirket tarafından tahsis edilen donanım cüzdanını kullandığı tespit edildi. LayerZero bu davranışı “açıkça yanlış” olarak niteleyerek ilgili kişiyi görevden aldığını ve söz konusu cüzdan altyapısını tamamen yenilediğini açıkladı. Şirket buna ek olarak cihaz bazlı anomali tespit sistemleri devreye aldığını ve kendi çoklu imza çözümü olan ‘OneSig’ altyapısını kurduğunu belirterek, *iç operasyonel güvenlik* süreçlerinin güçlendirildiğini vurguladı.
Yaşananlar, rekabetçi *cross-chain pazarında* da dengeleri sarsmış durumda. Chainlink(LINK), alternatif zincirler arası çözümüyle müşterileri hızlıca kendi ekosistemine çekmeye çalışıyor. Kelp DAO, zaten rsETH köprüsünü Chainlink’in ‘Cross-Chain Interoperability Protocol(CCIP)’ altyapısına taşımıştı. Diğer yandan Solv Protocol(Solv Protocol), 7 milyar dolar (yaklaşık 1 trilyon won) büyüklüğündeki *tokenleştirilmiş Bitcoin* altyapısını LayerZero’dan çekme kararı aldığını duyurdu.
LayerZero’nun bu ‘sorumluluk üstlenme’ adımı, sıradan bir özür açıklamasının ötesine geçiyor. Olay, *cross-chain güvenlik modellerinin* temelden yeniden tartışılmasına neden olabilecek bir dönüm noktası olarak görülüyor(yorum). Özellikle “güvenlik tasarımında söz hakkı kimin elinde olmalı, *protokol mü yoksa geliştirici mi?*” sorusu etrafında şekillenen tartışmanın, kripto piyasasında bir süre daha gündemde kalması bekleniyor.
Yorum 0