DeFi dünyası, yakın zamanda yaşanan geniş çaplı bir siber saldırı ile sarsıldı. Kelp DAO isimli köprü protokolü, 116.500 rsETH’nin çalınması sonucunda yaklaşık 292 milyon dolarlık zarara uğradı. Olay, yılın şimdiye kadarki en kayda değer merkeziyetsiz finans saldırısı olarak tanımlandı. Kelp DAO, farklı blokzincirler arası varlık aktarımı yapan protokol olarak bilinir ve özellikle Ethereum tabanlı projelerde önemli bir yol izler, ayrıca LayerZero altyapısını etkin bir şekilde kullanır.
Saldırı Detayları
18 Nisan’da meydana gelen olaya ilişkin LayerZero teknik bir açıklama yaptı. Açıklamaya göre, saldırganlar LayerZero Labs’ın merkeziyetsiz doğrulama ağındaki RPC düğümlerinin listesini ele geçirdi. İki düğümü manipüle ederek hizmet engelleme saldırısı gerçekleştirdiler ve sahte bir mesajın gerçek gibi algılanmasına neden oldular. Bu durum, 116.500 rsETH’nin kaybına yol açan yetkisiz bir işlemin imzalanmasına sebep oldu.
“LayerZero ve diğer paydaşlar, DVN çeşitlendirmesi konusunda Kelp DAO’ya en iyi uygulamaları önceden iletmişti. Ancak, Kelp DAO 1/1 DVN yapısını sürdürmeye devam etti.”
Karmaşık Yapılandırma Sorunları
LayerZero’nun hazırladığı raporda, Kelp DAO’nun sadece bir doğrulayıcı ile çalışan DVN yapısının güvenlik zafiyeti teşkil ettiği belirtildi. Denetim süreçlerinden bağımsız bu yapı, sistemde açık bir zayıf nokta oluşturdu.
Kelp DAO ise LayerZero’nun kendilerine önerdiği yapılandırmanın belgelerde yer aldığını ve tüm süreçlerin protokolle yapılan görüşmelerde onaylandığını savundu. Protokol, ocak ayından beri LayerZero’nun alt yapısını kullanarak faaliyet gösterdiklerini ve sürekli bir iletişim içinde olduklarını ifade etti.
Aave Sistemine Yansıyan Tehlikeler
Saldırının ardından siber saldırganların elde ettikleri rsETH’lerin bir kısmını Aave V3 protokolüne yatırarak teminat gösterdikleri ve bunun sonucu olarak WETH ve wstETH borçlandıkları belirlendi. Durum, Aave’de potansiyel bad debt oluşumuna işaret ediyor.
Son raporlar doğrultusunda, saldırgan Aave’ye 89.567 rsETH teminat göstererek yüksek miktarda borç aldı. Protokol yönetimi, Kelp DAO’nun zararın kullanıcıları nasıl etkileyeceğine dair net bir plan sunmaması nedeniyle iki olasılık üzerinde durdu. İlk senaryoya göre, zararın tüm platformlarda orantılı dağılması, rsETH arzında yüzde 15,12’lik değer kaybı yaratabilecek.
İkinci senaryoda ise sadece L2 zincirlerindeki varlıklar zarar görecek ve Ethereum ana ağındaki varlıklar güvende kalacak. Bu durumda, L2 varlıklarında yüzde 73,54 oranında bir kesinti oluşacak ve toplam 230,1 milyon dolarlık bir kötü borca neden olacak.
Aave yönetimi, Kelp DAO’nun finansal raporlamaları ve oran güncellemelerine göre senaryoların şekilleneceğini belirtti. Ayrıca, yönetim 181 milyon dolarlık bir varlığının olduğunu ve topluluk üyelerinden ilave destek sözleri aldıklarını bildirdi.
