Kripto para sektöründe yılın en büyük siber saldırılarından biri olarak kayda geçen Kelp DAO saldırısındaki fonların izlenmesi ve takibiyle ilgili önemli bir gelişme yaşandı. Ethereum üzerindeki Kelp DAO protokolü, geçtiğimiz hafta bir dizi manipülasyon sonucu yaklaşık 292 milyon dolar değerinde kayıpla karşılaşmış ve kripto topluluğunun gündemine oturmuştu. Şimdi ise çalınan bu varlıkların izini sürmeye çalışan uzmanlar, saldırganın yüz milyonlarca doları farklı ağlara taşımaya başladığını bildiriyor.
Saldırı sonrası fonların izlenmesi
Blokzincir güvenlik şirketlerinden PeckShield ve analist ZachXBT’nin paylaştığı son bulgulara göre, saldırgan son günlerde çalınan kripto paraların izini kaybettirmek için çeşitli yöntemler kullanmaya başladı. Yapılan analizlere göre ETH ana ağından Bitcoin‘e, THORChain ve Umbra gibi gizliliği artıran protokoller üzerinden aktarım hamleleri gerçekleşti.
PeckShield, toplam 176 milyon dolar değerindeki varlığın THORChain, Umbra, Chainflip ve BitTorrent gibi farklı platformlara göndermeye başlandığını aktardı. Ember CN adlı zincir üstü analiz grubu ise, saldırganın 75 bin 700 adet ETH yani yaklaşık 175 milyon dolarlık bir kısmı Arbitrum ağındaki dondurma işleminden sonra Ethereum dışına çıkarmaya yöneldiğine dikkat çekti.
Bu rakamların henüz Kelp DAO veya LayerZero tarafından bağımsız olarak teyit edilmediğini belirtmekte yarar var.
Saldırının teknik detayları ve sorumluluk tartışması
Kelp DAO, merkeziyetsiz finans alanında faaliyet gösteren ve Ethereum üzerindeki rsETH köprüsüyle DeFi ekosisteminde öne çıkan bir protokol. Yaşanan saldırıda; köprü tasarımındaki açıklar, mesaj doğrulama süreci ve bağlantılı platform LayerZero’nun mesaj altyapısı tartışmaların odağı haline geldi.
TRM Labs’ın politika yöneticisi Ari Redbord, saldırganın LayerZero’nun lzReceive akışında sahte gibi görünen bir mesaj üzerinden hareket ederek yaklaşık 116 bin 500 rsETH’yi protokolden çektiğini belirtti. Bu miktarın, dolaşımdaki toplam rsETH’nin yaklaşık %18’ine denk geldiğine dikkat çekiliyor;
Redbord, başlatılan bu fon çıkışıyla olayın kısa sürede zincirler arası büyük bir güvenlik açığına dönüştüğünü, saldırının ise son yılların en büyük merkeziyetsiz finans sızıntılarından biri olarak öne çıktığını vurguladı.
Saldırının ardından LayerZero, olaydan sorumlu olabileceği düşünülen Kuzey Kore bağlantılı Lazarus grubu öne sürdü ve istismarın mesaj doğrulama sürecindeki tek noktalı yapının sonucu olduğuna işaret etti. Kelp DAO ise sorumluluğu LayerZero’nun sistemine çekti.
DeFi piyasasına etkisi ve yeni fon hareketleri
Arbitrum ağında saldırıyla ilişkili yaklaşık 71 milyon dolarlık ETH’nin dondurulması, şu ana kadarki en somut adımlar arasında yer aldı. Bu müdahaleye rağmen saldırgan farklı yöntemlere yönelerek çaldığı kripto varlıkları kısım kısım yeni ağlara aktarmakta gecikmedi.
Olayın ardından DeFi protokollerinde rsETH ile teması bulunan Aave, SparkLend, Fluid ve Upshift gibi platformlar risklerini azaltma ve teminatlarını yeniden değerlendirme adımları attı. Bu süreçte teminat kalitesi, sabit değerin korunması ve zincirler arası borç senaryoları üzerinde pek çok tartışma gündeme geldi.
Saldırı sonrası fon hareketlerinin büyüklüğü tam olarak saptanmasa da, son günlerde THORChain ve Umbra gibi gizlilik odaklı ağlara yapılan transferler, saldırganların kaçış yolları için hazırlık yaptığını gösteriyor. Uzmanlara göre bu tür işlemler, çalınan paranın takibini ve iadesini önemli ölçüde zorlaştırıyor.
Bununla birlikte tespit edilen yeni transferlerin toplam hasara göre hâlâ sınırlı olduğu, ancak saldırganların fonları oturtmak yerine farklı rotalar test etmeye başladığı vurgulanıyor.
Son yaşananlar, Arbitrum üzerinden yapılan ilk dondurma işleminin önemini bir kez daha ortaya koyarken, saldırgan fonların peşinde olunduğunu ve yeni transferlerin ise varlıkların izinin sürülmesini giderek daha karmaşık hale getirdiğini gösteriyor.
