KelpDAO, 300 milyon dolarlık güvenlik açığı olayının ardından Layerzero'yu sert bir şekilde eleştirdi ve rsETH'yi Chainlink CCIP'ye taşıdı

Ağ Yapılandırması Üzerine Anlaşmazlık

KelpDAO, 18 Nisan'da başta rsETH olmak üzere 300 milyon dolardan fazla DeFi varlığının çalınmasına yol açan bir saldırının ardından Layerzero Labs'a sert bir yanıt verdi. Layerzero'nun resmi olay sonrası analiziyle çelişen bir kamuoyu açıklamasında KelpDAO, köprü sağlayıcısının kendi temel altyapısındaki sistemik bir arıza için "kullanıcıları suçladığını" iddia ediyor.

Lazarus Group ile yüksek güvenilirlikle ilişkilendirilen bu saldırı, varlıkların sahte olarak basılmasına ve piyasaya sürülmesine neden oldu. KelpDAO, sözleşmeleri askıya alarak 100 milyon dolarlık sahte işlemi daha engellemeyi başarsa da, olayın yarattığı etki DeFi dünyasında büyük bir değişime yol açtı. KelpDAO daha sonra Chainlink CCIP'ye acil bir geçiş yapacağını duyurdu.

Tartışmanın merkezinde ihlalin nedeni yatıyor. Layerzero'nun olay sonrası değerlendirmesi, olayı "KelpDAO yapılandırma sorunu" olarak nitelendirdi ve özellikle Kelp'in, Layerzero Labs'ın tek doğrulayıcı olduğu 1-of-1 merkezi olmayan doğrulayıcı ağı (DVN) kurulumunu hedef aldı. Ancak KelpDAO, Layerzero OApp sözleşmelerinin %47'sinin (1.200'den fazla uygulama) aynı 1-1 DVN "güvenlik tabanını" kullandığını gösteren Dune analizine atıfta bulunarak karşılık verdi.

Kelp, Layerzero’nun kendi OFT hızlı başlangıç kılavuzu ve varsayılan şablonlarının, Layerzero Labs’ı tek gerekli DVN olarak içeren 1-1 kurulumunu önerdiğine dikkat çekiyor. Proje ayrıca, Layerzero ekibi üyelerinin iki yıl boyunca sekiz ayrı entegrasyon görüşmesi sırasında Kelp’e “varsayılanların sorun olmadığını” garanti ettiklerini gösteren Telegram konuşmalarının ekran görüntülerini paylaştı.

X'te gerçeği ortaya koyan bir gönderide Kelp, Layerzero'nun neyi kabul ettiğini ve olay sonrası analizinde neyi görmezden geldiğini ayrıntılı olarak açıkladı. Gönderiye göre Layerzero, saldırganların DVN'sinin kullandığı RPC listesine erişim sağladığını kabul etti ve iki bağımsız düğümün ele geçirildiğini ve ikili dosyaların değiştirildiğini doğruladı. Ayrıca Kelp, 300 milyon dolarlık zararın ardından Layerzero'nun 1-1 yapılandırmalarını yasaklamasını da bir başka itiraf biçimi olarak gösteriyor.

Ancak Kelp'e göre, olay sonrası değerlendirme, Layerzero'nun kendi belgelerinin geliştiricileri güvenlik açığı bulunan 1-1 kurulumuna yönlendirdiğini görmezden geldi. Ayrıca Layerzero'nun izleme sistemlerinin saldırıyı neden tespit edemediğini açıklamıyor ve sorunu tespit etme görevini Kelp'e bırakıyor.

"Basit gerçek şu ki: LayerZero, kendi altyapı hatasından kaynaklanan bir sorun için kullanıcılarını suçladı," diye belirtti KelpDAO gönderisinde.

Kelp, bu sonucunu desteklemek için, saldırı sırasında mevcut olduğu iddia edilen birkaç kritik güvenlik açığını ortaya çıkaran bağımsız incelemelere atıfta bulundu. Bunlar arasında, varsayılan dağıtımın WAF veya IP izin listeleri gibi yaygın güvenlik önlemlerinden yoksun halka açık ağ geçitlerini açığa çıkardığına dair bulgular yer alıyor. Chainalysis tarafından yapılan bir inceleme, Layerzero'nun düşük bir 1-1 RPC kvorum varsayılanı belirlediğini tespit etti; bu, bir düğüm zehirlendiğinde, DVN'nin diğerlerini çapraz kontrol etmeden sahte mesajı imzaladığı anlamına geliyor.

Layerzero'ya olan güvenini yitirdiğini göstermek için Kelp, rsETH'yi Layerzero OFT standardından Chainlink'in Cross-Chain Token (CCT) standardına geçirdiğini söyledi.

"Bir numaralı önceliğimiz, kullanıcılarımızın varlıklarının güvenliği olmaya devam ediyor," diyen KelpDAO, Chainlink'in yedi yıllık geçmişini ve güvenli, merkeziyetsiz oracle ağını örnek gösterdi.