DeFi alanındaki etkili oyunculardan Kelp DAO, Nisan ayında maruz kaldığı büyük ölçekli bir siber saldırının ardından önemli adımlar atmaya hazırlanıyor. 292 milyon dolarlık saldırının izlerini silmeye çalışan platform, restaking token‘ı rsETH’yi Chainlink‘in oracle platformuna taşımaya karar verdi. Kelp DAO, bu değişiklikle güvenliğini artırmayı hedeflerken, saldırının sorumluluğuna dair LayerZero altyapısını suçlamaya devam ediyor.
Saldırının Ayrıntıları ve Altyapı Sorunları
18 Nisan’da gerçekleşen olayda, Kelp DAO’nun LayerZero tabanlı köprüsü üzerinden 116.500 restaked ETH, kötü niyetli aktörler tarafından çalındı. Bu saldırıyı gerçekleştirenler, ele geçirdikleri varlıkları, Aave v3 platformunda kullanarak wrapped Ether elde etti. Yaşanan bu olay, 2023 yılı itibariyle DeFi alanında en büyük güvenlik zafiyetlerinden biri olarak kayda geçti.
LayerZero ise yaşanan bu krizi analiz eden bir rapor yayınladı ve güvenlik açığının, Kelp DAO’nun merkeziyetsiz doğrulama sistemi içinde tek bir LayerZero doğrulayıcısına dayanmasından kaynaklandığını ifade etti. LayerZero temsilcileri, bu durum konusunda daha önceden uyarı yaptıklarını belirtti.
Kelp DAO, yaptığı açıklamada, “Son LayerZero saldırısının ardından, rsETH’nin tamamen güvenli olması için Chainlink CCIP’ye geçiş yapmaya karar verdik,” sözlerini kullandı.
Buna karşılık, Kelp DAO ise tek doğrulayıcı kullanımının, LayerZero’nun varsayılan ayarı olduğunu ve birçok protokol tarafından tercih edildiğini bildirdi. Verilere göre LayerZero kullanıcılarının yarısından fazlasının tek bir doğrulayıcı kullandığı belirlendi. Kelp DAO, LayerZero’nun bu yapı için onay verdiğini ve riskler hakkında bilgilendirme yapmadığını iddia etti.
Suçlamalar ve Tepkiler
Kelp DAO, 2024 yılından beri LayerZero altyapısını kullanıyor ve olaylarla ilgili sürekli olarak LayerZero ekibiyle iletişim halinde olduklarını belirtiyor. Ayrıca, DVN yapılandırmasının daha evvelden güvenli olarak onaylandığı bilgisi verildi. Saldırı sonrası LayerZero, tek doğrulayıcılı uygulamaların artık desteklenmeyeceğini ve bu sistemde çalışan protokollerin çoklu DVN yapılarına geçiş yapması gerektiğini duyurdu.
LayerZero’nun kurucu ortağı Bryan Pellegrino, sosyal medya üzerinden yaptığı açıklamada, “Kelp’in iddialarının birçoğu tamamen gerçek dışı,” diyerek, Kelp’in manuel olarak tek doğrulayıcıya geçtiğini belirtti.
Pellegrino, başlangıçtaki ayarların LayerZero Labs ile Google arasında çoklu DVN üzerine kurulu olduğunu, ancak Kelp DAO’nun manuel değişiklik yaparak risk içeren yapıyı seçtiğini söyledi. Ayrıca, olayla ilgili bağımsız güvenlik firmalarının detaylı incelemelerinin yakında açıklanacağı bildirildi.
Olayın Failleri ve Yeni Güvenlik Tartışmaları
Kelp DAO ve benzer şekilde saldırıya uğrayan Drift adlı merkeziyetsiz borsa olayının, Kuzey Kore ile bağlantılı hacker grupları tarafından düzenlendiği üzerinde duruluyor. Drift’te meydana gelen sızma işlemi de 285 milyon dolarlık zararla sonuçlandı. Bütün bu gelişmeler, DeFi ekosistemindeki zincirler arası köprülerin güvenliği sorununu ve merkeziyetsiz doğrulama sistemlerini yeniden gündemin ön sıralarına taşıdı.
