Kelp DAO’nun rsETH köprüsünden 292 milyon dolar değerinde kripto paranın çekildiği olayda, yaşanan güvenlik açığının sorumluluğu konusunda Kelp DAO ve LayerZero arasında karşılıklı iddialar gündeme geldi. Olay sonrası LayerZero, saldırıya yol açan güvenlik modelinin Kelp DAO tarafından tek doğrulayıcı ile kurulduğunu savunmuş, Kelp DAO ise LayerZero ekibi tarafından bu kuruluma onay verildiğini öne sürerek kamuoyunda önemli bir tartışma başlattı.
Onay iddiası ve iletişim kayıtları
LayerZero, merkeziyetsiz uygulamalar arasında blokzincirler arası iletişimi sağlayan altyapı geliştiren bir platform olarak kripto ekosisteminde biliniyor. Kelp DAO ise Ethereum tabanlı rsETH köprüsünü yöneten merkeziyetsiz özerk organizasyonlardan biri olarak faaliyet gösteriyor. Şirketin yayımladığı yeni belgede, LayerZero ekibinin 2,5 yıl ve sekiz farklı entegrasyon görüşmesi boyunca Kelp’in 1’e 1 doğrulayıcı kurulumunu incelediği ve güvenlik riski konusunda herhangi bir uyarı yapmadığı aktarıldı. Paylaşılan ekran görüntüleri, LayerZero ekibinin Kelp’e doğrulayıcı ayarını tercihine bıraktığını ve özel doğrulayıcıya geçişin zorunlu olmadığını belirttiğini gösteriyor. Ancak, bu mesajların bağımsız olarak doğrulanıp doğrulanmadığı belirsizliğini koruyor.
Kelp DAO, LayerZero’nun hata ödül (bug bounty) kapsamı belgelerinde uygulama tarafındaki yanlış yapılandırmaların ödül kapsamı dışında tutulduğuna, resmi örneklerde de çoğunlukla tek doğrulayıcı (DVN) modelinin gösterildiğine işaret etti.
Saldırı nasıl gerçekleşti?
16 Nisan’da gerçekleşen saldırıda, kimliği Kuzey Kore merkezli Lazarus Grubu ile ilişkilendirilen bir grup LayerZero ekosistemi üzerinde açığı tespit edip 116.500 rsETH çekti. Hackerlar, LayerZero Labs doğrulayıcı ağındaki RPC sunucularının ikisini ele geçirip zararlı yazılım yükledi ve ardından diğer node’lara yönelik DDoS saldırısı başlatarak protokolün işlemleri sahte node’lara yönlendirmesini sağladı. LayerZero, bu sayede gerçekleşmeyen işlemler için onay verildiğini açıkladı. Saldırı, toplam 292 milyon doların Kelp DAO’dan çıkmasına neden olurken, iki ayrı sahte işlemin daha 100 milyon doları aşan hacimle işleme alındığı belirtildi.
LayerZero ekibi saldırının ardından, “Protokol tam olarak tasarlandığı şekilde çalıştı ve 1’e 1 doğrulayıcı modelini kullanan uygulamalar için artık imza atılmayacak,” açıklamasını kamuoyu ile paylaştı.
Bugüne kadar yaklaşık 2.665 LayerZero OApp kontratının yüzde 47’sinin 90 gün içerisinde 1’e 1 doğrulayıcı yapılandırmasına sahip olduğu ve toplamda 4,5 milyar dolarlık varlığın benzer risk altında olduğu Dune Analytics verilerine yansıdı.
Tepkiler ve son gelişmeler
Kelp DAO’nun hazırladığı bildiride, olaydaki güvenlik açığının LayerZero tarafından fark edilmediği ve tespitin kendileri tarafından yapıldığı, bunun da protokolün izleme sistemlerine dair soru işaretleri yarattığı vurgulandı. Açıklamada ayrıca, iki farklı doğrulayıcı ağı arasında yönetici düzeyinde ciddi bir adres örtüşmesi olduğu iddia edildi. Bazı zincirlerde LayerZero Labs doğrulayıcı ağı, halen tek yetkili olarak yer almakta.
Olay sonrası Kelp DAO, rsETH köprüsünü LayerZero’dan Chainlink’in zincirler arası protokolüne taşıyacağını duyurdu. Bu değişiklikle birlikte rsETH, LayerZero’nun standartlarından tamamen çıkarak Chainlink altyapısına geçiyor.
Olayın boyutu ve sorumluluk tartışmaları kripto sektörü genelinde büyük yankı uyandırdı. Taraflar arasında karşılıklı suçlamalar sürerken, LayerZero yetkilileri konuyla ilgili olarak herhangi bir kamuoyu açıklaması yapmadı.
