Certik Analisti: KelpDAO'daki Güvenlik Açığı, Zincirler Arası Siber Suçlarda Riskli Bir Dönüşümü Ortaya Çıkarıyor

Önemli Noktalar:

• Arbitrum Güvenlik Konseyi ve SEAL 911, Kelp DAO soygununun etkisini azaltmak için 18 Nisan'da 30.766 ETH'yi dondurdu.
• Certik analisti Wenzhao Dong, köprü hırsızlıklarının artık Aave gibi platformlar için sistemik bir kötü borç sorunu yarattığı konusunda uyarıyor.
• Kelp DAO, rsETH sabitlemesini geri yüklemeyi ve kayıp dijital varlıkların geri kalan 220 milyon dolarını geri kazanmayı hedefliyor.

Güvenlik ve Egemenlik

Arbitrum Güvenlik Konseyi'nin (ASC) 30.766 ETH'yi dondurmak için yaptığı hızlı müdahale, blok zincirindeki en temel tartışmalardan birini yeniden alevlendirdi: değişmez merkeziyetsizlik ile pragmatik yönetişim arasındaki gerilim.

71 milyon dolarlık ETH'nin geri kazanılması mağdurlar için açık bir zafer olsa da, bu yöntem topluluğu iki ayrı kampa böldü. Bir yandan, safkancılar ASC'nin varlıkları tek taraflı olarak dondurma yetkisinin, kripto paranın yerini alması için tasarlanan merkezi finans sistemlerine doğru "kaygan bir zemin" olduğunu savunuyor. Onlar, bir konseyin bugün bir hacker'ı sansürleyebiliyorsa, yarın bir siyasi muhalifi veya yasal bir işletmeyi sansürlemeye zorlanabileceğini savunuyorlar. Bu gruba göre, "insanın müdahalesi" sistemik bir güvenlik açığıdır ve güvene dayalı olmama vaadini baltalar.

Öte yandan, pragmatistler mutlak merkeziyetsizliği ilk günden itibaren bir gereklilikten ziyade ulaşılması hedeflenen bir nihai durum olarak görüyor. Onlar, merkeziyetsiz finansın (DeFi) ana akım olarak benimsenmesi için, felaket niteliğindeki kayıpları hafifletecek "devre kesicilere" sahip olması gerektiğini savunuyor. Bu bakış açısına göre ASC, kullanıcıları Lazarus Grubu gibi sofistike devlet destekli aktörlerden korumak için gerekli hesap verebilirliği sağlayan, gerekli bir koruma mekanizması, bir "dijital itfaiye"dir.

Bitcoin.com News ve diğer medya kuruluşlarının bildirdiği gibi, ASC, istismarcıların kimliği konusunda kolluk kuvvetlerinden gelen bilgilere göre harekete geçti. Konsey, Arbitrum kullanıcıları veya uygulamaları üzerinde herhangi bir etki yaratmamasını sağlarken, Arbitrum topluluğunun güvenliği ve bütünlüğüne olan bağlılığını da göz önünde bulundurduğunu belirtti.

Dondurma kararı geçici bir rahatlama sağlasa da, bir uzman, bu soygunun, köprülerdeki güvenlik açıklarının sistematik olarak kredi piyasalarını etkilemek için kullanıldığı, DeFi suçlarının yeni ve daha tehlikeli bir aşamasını temsil ettiği konusunda uyarıda bulundu.

Saldırganın stratejisi hakkında bir analiz sunan Certik'te blok zinciri analisti olan Wenzhao Dong, Kuzey Kore destekli Lazarus Grubu'nun piyasa likiditesi konusunda sofistike bir anlayış sergilediğine dikkat çekti. Dong, saldırganların 1 milyar Polkadot basıp fiyat çökmeden önce sadece yaklaşık 240.000 doları dönüştürebildikleri son Hyperbridge olayından farklı olarak, Kelp DAO saldırganlarının daha verimli bir "nakit çıkışı" yolunu seçtiğini belirtti.

Dong, "Kelp DAO saldırısı, modern DeFi'de açık bir risk modelini ortaya koyuyor" dedi. "Bir köprü güvenlik açığı tek başına kalmaz; bu, kredi piyasaları için bir soruna dönüşür. Saldırgan, sahte olarak basılan rsETH'yi Aave'de teminat olarak kullanarak WETH ödünç alarak, bir köprü hırsızlığını Aave'nin kötü borcuna dönüştürdü."

Dong, saldırganların büyük satış emirlerinin kayma ve erken tespitine yol açacağı spot piyasalardan kasıtlı olarak kaçındıklarını belirtti. Bunun yerine, Aave'yi aracı olarak kullanarak riski kredi protokolüne yüklediler.

"DeFi güvenliği birbiriyle bağlantılıdır," diye ekledi Dong. "Protokol, yalnızca kendi sözleşmelerine odaklanamaz; sistemlerindeki her bağımlılığın oluşturduğu riskleri dikkate almalı ve buna göre savunma önlemleri almalıdır."

ASC'nin dondurma kararını açıklamasından saatler sonra paylaşılan bir güncellemede, Kelp DAO konseyin aldığı "kararlı adım" için teşekkürlerini iletti. Kuruluş, SEAL 911'in "koordinasyon ve bilgi yapılandırması"nı, hackerlar Arbitrum ağındaki kalan 71 milyon dolarlık ETH'yi çekmeden önce paydaşların harekete geçmesini sağlayan kilit faktör olarak gösterdi.

Dondurma işleminin başarılı olmasına rağmen, yaklaşık 220 milyon dolar hala kayıp. Kelp DAO, şu anda öncelikli odak noktasının, bu istismarın yarattığı "kötü borcu" çözmek için Aave ve diğer ortaklarla birlikte çalışmak olduğunu doğruladı. Organizasyon, rsETH sahiplerini desteklemek ve protokolün sabit kurunu geri kazanmak için mevcut tüm yolları takip edeceğini de belirtti.