Son haftalarda Kuzey Kore bağlantılı hacker gruplarının kripto dünyasında art arda gerçekleştirdiği büyük saldırılar dikkat çekiyor. Geçtiğimiz günlerde kripto alım-satım platformu Drift’in hedef alınmasının ardından, benzer yöntemlerle şimdi de Kelp isimli restaking protokolüne büyük bir siber saldırı düzenlendi. Kelp, LayerZero’nun zincirler arası altyapısına entegre olarak çalışan, merkeziyetsiz finans (DeFi) ekosisteminde önemli bir protokol olarak biliniyor.
Küphedeki Açıklar ve Saldırı Yöntemi
Yaşanan saldırının geleneksel şifrelemeyi kırmak veya anahtarları çalmak yerine, sistemin temel işleyiş mantığındaki eksik ve kontrolsüz yönlerin kötüye kullanılmasıyla gerçekleştirildiği ortaya çıktı. Saldırganlar, Kelp protokolünü çalıştıran altyapıya veri sağlayan kaynakları manipüle ederek, sistemin yanlış girdilerle işlem onaylamasına yol açtı. Temelde mekanizmanın nasıl çalıştığı değiştirilmedi; sistemin içinde var olan yetki ve denetim zaaflarından faydalanıldı.
Protokolün zincirler arası mesaj doğrulama sürecinde yalnızca tek bir denetçinin kullanılmasının, saldırıyı mümkün kıldığı anlaşıldı. Bu yaklaşım, işlemlerin hızlı ve basit biçimde doğrulanmasını sağlayabiliyor; fakat güvenlik açısından ciddi bir açık oluşturuyor. Bu nedenle uzmanlar, daha bağımsız ve çoklu doğrulama mekanizmalarının zorunlu tutulmasını öneriyor.
Kelp vakasında temel güvenlik açığının, sistemin doğrulama mekanizmasına fazla güvenmekten kaynaklandığı belirtiliyor. “İmza atan kişi doğruyu söylüyor anlamına gelmiyor, imza sadece kimin yazdığını gösterir” vurgusu yapılıyor.
Yayılma Etkisi ve Merkeziyetsizlik Tartışmaları
Saldırının etkileri sadece Kelp ile sınırlı kalmadı. DeFi protokollerinde varlıklar çoklu platformlarda rehine olarak kullanılabildiği için, Kelp üzerindeki problem domino etkisiyle diğer sistemlere de taşındı. Bu süreçte, zincirler arası geçiş sağlayan altyapılar ve varlık aktarımı için kullanılan çeşitli platformlar da zarar gördü. Özellikle lending platformlarından Aave gibi büyük oyuncuların, Kelp kaynaklı varlıkları rehine olarak kabul etmesinin ardından zarar yaşadığı, tek bir açığın bile piyasada zincirleme bir stres dalgası yaratabildiği bildirildi.
Merkeziyetsizlik iddiaları da yeniden gündeme geldi. Sistemde tek bir doğrulayıcının bulunmasının, aslında sistemin merkeziyetsiz olarak pazarlanmasına rağmen, gerçekte bu özelliği tam olarak yansıtmadığı ifade ediliyor. Uzmanlar, “Gerçekte merkeziyetsizlik, yapılan tercihlerle belirleniyor; en zayıf halka, tüm sistemi kırılgan hale getirebiliyor” değerlendirmesinde bulunuyor.
Bir güvenlik uzmanı, “Bu saldırının asıl meselesi şifrelemenin kırılması değil, yapının nasıl kurulduğunun açıkça ortaya çıkması. Merkeziyetsiz olmak için altyapıda tek bir denetçi yeterli değil.” ifadesini aktarıyor.
Kritik Destek Katmanları Hedefte
Kuzey Koreli hackerların son dönemde özellikle zincirler arası altyapılar ve restaking protokollerine odaklandığı belirtiliyor. Bu altyapılar, farklı sistemler arasında büyük miktarda kripto varlık transferine olanak veriyor ve ekosistemin ‘arka planında’ kritik bir rol üstleniyor. Çoğu zaman görünürlüğü az olan bu katmanlar, istemeden de olsa büyük açıklar barındırabiliyor. Uzmanlar, saldırıların artık borsalarda veya yazılım hatalarında yoğunlaşmak yerine, ekosisteminin ‘tesisat’ olarak nitelendirilen ara bağlantı noktalarına kaydığını söylüyor.
Sektör temsilcilerine göre, Kelp’e yönelik saldırı yeni bir güvenlik zafiyeti sunmaktan çok, bilinen eksikliklerin etkisini ve önlem alınmadığında nasıl büyük risklere yol açabileceğini gösterdi. Özellikle güvenliğin tamamlayıcı bir opsiyon olmaktan çıkıp zorunlu koşul haline getirilmesi gerektiği vurgulanıyor. Saldırganların hızla yöntem geliştirdiği bu dönemde, bilinen açıkların hâlâ giderilmemiş olması, daha büyük kayıplara yol açabilir.
Uzmanlardan biri, “Bir protokolde ‘güvenli değil’ diye işaretlenen bir ayarın varsayılan olarak sunulması kabul edilemez. Güvenlik için herkesin tüm belgeleri okuyup en doğru ayarı bulması beklenemez.” görüşünü dile getiriyor.
Toplamda Drift ve Kelp saldırılarında iki hafta içinde 500 milyon doları aşan kayıp yaşandı. Bu durum, hem ekosistemdeki güvenlik kültürünün sorgulanmasına hem de merkeziyetsiz finans dünyasında daha sıkı denetim ve şeffaflık taleplerinin yükselmesine yol açtı.
