Chainalysis, 292 milyon dolarlık bir güvenlik açığının yakma doğrulamasını atlatmasıyla DeFi güvenliğindeki kritik bir zayıf noktaya dikkat çekti

Önemli Noktalar:

• Chainalysis, zincirler arası güven varsayımlarındaki kritik bir hatayı ortaya çıkaran bir KelpDAO istismarını işaret ediyor.
• Analizler, Layerzero'nun tasarım kusurlarının tek bir doğrulayıcının DeFi güvenlik önlemlerini atlatmasına olanak verebileceğini gösterdi.
• Chainalysis, gizli hataların tespit edilemeyebileceğini işaret ederken, protokoller artan risklerle karşı karşıya kalıyor.

Zincirler Arası Köprü Kusurları, DeFi Güvenlik Risklerini Ortaya Çıkarıyor

Blockchain analiz şirketi Chainalysis, 20 Nisan'da 292 milyon dolarlık bir merkeziyetsiz finans (DeFi) istismarını vurgulayarak, zincirler arası köprü tasarımındaki kritik zayıflıkları ortaya çıkardı. KelpDAO'nun rsETH altyapısını içeren olay, manipüle edilmiş girdilerin doğrulama sistemlerini nasıl atlatabileceğini gösterdi. Bu vaka, çoklu zincir protokollerine gömülü güven varsayımları etrafında artan endişeleri işaret ediyor.

Chainalysis, sosyal medya platformu X'te şunları belirtti:

"Yaklaşık 292 milyon dolarlık KelpDAO / rsETH köprüsü istismarı, DeFi güvenliğindeki kritik bir kör noktayı ortaya koyuyor."

Şirket, ihlalin kusurlu akıllı sözleşmelerden ziyade hatalı bir güven katmanından kaynaklandığını açıkladı. Saldırganlar, KelpDAO'yu destekleyen LayerZero altyapısını hedef alarak 1'e 1 doğrulayıcı çoğunluğunu istismar etti. Bu yapı, sınırlı uzaktan yordam çağrısı uç noktalarına dayanıyordu ve tek bir arıza noktası yaratıyordu. Bir kez ele geçirildiğinde, bu yol daha geniş bir konsensüs olmadan yetkisiz onaylara olanak sağladı. Analitik sağlayıcısı, sistemin manipüle edilmiş koşulları geçerli olarak kabul ettiğini ve bu sayede istismarın standart güvenlik önlemleri tarafından tespit edilmeden devam etmesine izin verdiğini açıkladı.

Değişmez Arızalar, Gerçek Zamanlı İzlemenin Gerekliliğini Vurguluyor

Saldırgan, RPC uç noktalarını ele geçirerek doğrulayıcının veri girişlerine sızdı. Yanlış bilgiler, sistemin kaynak zincirinde uydurma bir yakma olayı kaydetmesine neden oldu.

“Bu yanlış duruma dayanarak köprü, mesajı onayladı ve Ethereum üzerinde 116.500 rsETH'yi saldırgana serbest bıraktı. Gerçekte, buna karşılık gelen herhangi bir yakma işlemi gerçekleşmedi. Standart güvenlik önlemleri bunu tamamen gözden kaçırdı çünkü işlemler kod düzeyinde tam olarak tasarlandığı gibi yürütüldü,” diye açıkladı Chainalysis. Bu dizi, yakılan varlıklar ile çıkarılan tokenler arasında parite gerektiren temel bir köprü değişmezliğini bozdu. Kodun doğru şekilde yürütülmesine rağmen, harici veri bütünlüğüne güvenilmesi, istismarın başarılı olmasını sağladı.
Chainalysis, daha geniş kapsamlı bir uyarıyla şu sonuca vardı:

“Bu saldırı, kötü amaçlı kodları tespit etmenin yeterli olmadığını kanıtlıyor; protokoller, bir sistemin imkansız bir duruma girdiğini tespit etmelidir.”

Şirket, zincirler arası tutarlılığı gerçek zamanlı olarak doğrulayabilen sürekli izleme sistemlerine duyulan ihtiyaca dikkat çekti. Değişmezlik izleme çerçeveleri gibi araçlar, kilitli varlıklar ile serbest bırakılan fonlar arasındaki tutarsızlıkları tespit edebilir. Bu mekanizmalar, kayıplar artmadan önce protokollerin işlemleri durdurmasına olanak tanıyarak, yalnızca kod denetimlerine güvenmek yerine sistem genelindeki durumu doğrulamanın önemini pekiştirir.