Layerzero, 290 milyon dolarlık güvenlik açığı olayının ardından bulaşma olmadığını iddia ederken, çelişkili açıklamalar incelemeyi daha da derinleştiriyor

Önemli Noktalar:

• Layerzero, bu güvenlik açığını altyapı hatası olarak nitelendirdi ve köprü güvenlik modellerine olan güveni zayıflattı.
• Chainlink'ten Zach Rynes, doğrulayıcıların merkezileşmesini suçlayarak DeFi genelinde güvenilirlik risklerini artırdı.
• KelpDAO, artık çoklu DVN yapılarını benimseme baskısıyla karşı karşıya ve bu durum, gelecekte daha sıkı standartların uygulanacağına işaret ediyor.

DeFi Köprü Güvenlik Riskleri Yapısal Zayıflıkları Ortaya Çıkarıyor

LayerZero Labs, KelpDAO'nun yaklaşık 290 milyon dolarlık rsETH istismarını açıkladıktan sonra, ciddi bir zincirler arası güvenlik ihlali, merkeziyetsiz finans (DeFi) genelinde köprü tasarımına yönelik incelemeyi yoğunlaştırıyor. 18 Nisan'da, sosyal medya platformu X'te yayınlanan açıklamada, olay, yoğunlaşmış doğrulayıcı yapılandırmalarıyla bağlantılı riskleri ortaya çıkaran bir altyapı düzeyinde saldırı olarak nitelendirildi.

Açıklamada Layerzero Labs şunları belirtti:

"İlk göstergeler, saldırının son derece sofistike bir devlet aktörüne, muhtemelen Kuzey Kore'nin Lazarus Grubu'na, daha spesifik olarak TraderTraitor'a atfedilebileceğini gösteriyor."

Verilen detaylara göre, saldırı, Decentralized Verifier Network tarafından kullanılan aşağı akış uzaktan yordam çağrısı altyapısını hedef aldı. Saldırganlar, protokolün kendisini istismar etmek yerine, RPC sistemlerini zehirledikleri, doğrulayıcıya sunulan verileri manipüle ettikleri ve güvenliği ihlal edilmemiş uç noktalara karşı dağıtılmış hizmet reddi baskısı uyguladıkları iddia ediliyor. Bu kombinasyon, izleme sistemleri tarafından tespit edilmeden sahte işlemlerin onaylanmasını sağladı.

Layerzero Labs, temel zayıflığı, bire bir DVN yapısına dayanan KelpDAO'nun rsETH yapılandırmasına bağladı. Bu model, destekleyici altyapı tehlikeye girdiğinde sahte bir mesajı reddedebilecek bağımsız bir doğrulayıcı bırakmadı. Açıklamada, bu yapılandırmanın çoklu DVN yedekliliği için uzun süredir var olan önerilere aykırı olduğu belirtildi. Ayrıca, uygun şekilde çeşitlendirilmiş bir yapılandırmanın birden fazla doğrulayıcı arasında konsensüs gerektireceği ve bu sayede bir yol tehlikeye girse bile saldırının etkisiz hale geleceği ifade edildi.

Kripto Altyapısı Genelinde Hesap Verebilirlik Tartışması Yoğunlaşıyor

Layerzero Labs ayrıca, etkinin daha geniş ekosistem genelinde sınırlı kaldığını vurguladı. Layerzero Labs, "Layerzero protokolündeki aktif entegrasyonları kapsamlı bir şekilde inceledik" diyerek şunları vurguladı:

"Diğer varlıklar veya uygulamalara hiçbir bulaşma olmadığını güvenle teyit edebiliriz."

"Bu olay, KelpDAO'nun tek DVN kurulumunun doğrudan bir sonucu olarak tamamen rsETH yapılandırmasıyla sınırlıydı," diye eklediler. Bu çerçeveleme, protokolün amaçlandığı gibi işlediğini ve modüler güvenliğin daha geniş bir sistemik maruziyet yaratmak yerine hasarı tek bir entegrasyonla sınırladığını gösteren görüşü destekliyor.

Topluluğun tepkisi keskin bir şekilde bölündü ve bazıları bu yoruma doğrudan itiraz etti. Chainlink'in topluluk irtibat sorumlusu Zach Rynes, X'te şu görüşü paylaştı: "Beklendiği gibi, Layerzero kendi DVN düğüm altyapısının tehlikeye atılması ve 290 milyon dolarlık bir köprü istismarına yol açması konusundaki sorumluluğu saptırıyor." O, sorunun hem altyapı kontrolünden hem de doğrulayıcı yoğunlaşmasından kaynaklandığını ve tek bir arıza noktası oluşturduğunu savundu. Rynes, bu merkezileşme riskini yıllar önce işaret etmiş ve bu tür kurulumların kullanıcıları aşırı sistemik riske maruz bıraktığı konusunda uyarmıştı. "Bulaşma olmadığını iddia etmek ise sadece işin cilvesi," diye sonuçlandırdı. Anlaşmazlık, tek bir kuruluşun hem altyapıyı hem de doğrulamayı kontrol ettiği durumlarda hesap verebilirlik konusunda daha geniş bir bölünmeyi yansıtıyor.