LayerZero, son 290 milyon dolarlık KelpDAO istismarına yönelik yaklaşımı nedeniyle büyük tepkiyle karşı karşıya. Omnichain birlikte çalışabilirlik protokolü, olaydan KelpDAO'nun 1'e 1 doğrulayıcı yapılandırmasını kullanmasını sorumlu tuttu.
Geçtiğimiz hafta sonu, likit yeniden stake etme protokolü KelpDAO saldırıya uğradı ve 290 milyon doların üzerinde rsETH kaybına yol açtı. Saldırganlar, protokolün LayerZero destekli köprüsündeki bir güvenlik açığından yararlandı. İki gün sonra LayerZero, Drift Protokolü'nün 285 milyon dolarlık istismarının ardından 2026'nın en büyük DeFi hack'i haline gelen olaya ilişkin açıklama yaptı.
LayerZero, "son derece sofistike saldırıyı" Kuzey Kore'ye bağlı Lazarus Grubu'na atfetti. Bunu bir protokol istismarından ziyade kripto altyapısına yönelik bir saldırı olarak nitelendirdiler ve "diğer çapraz zincir varlıklara veya uygulamalara sıfır bulaşma riski bulunduğunu" belirttiler. Protokol, sistemlerinin çapraz zincir mesajlarını doğrulayan bağımsız kuruluşlar olan Merkeziyetsiz Doğrulayıcı Ağları (DVN'ler) kullanılarak modüler bir güvenlik temeli üzerine inşa edildiğini açıkladı.
LayerZero'ya göre, saldırganlar kendi DVN'inin işlemleri doğrulamak için kullandığı RPC'lerin (Uzak Yordam Çağrıları) çoğunluğunu ele geçirdi. İddiaya göre mesajları sahteleştirmek için ikili dosyaları değiştirdiler ve sistemi bu ele geçirilmiş düğümleri kullanmaya zorlamak için DDoS saldırıları kullanarak DVN'i sahte işlemleri onaylaması için kandırdılar.
Bu analize dayanarak LayerZero, sorumluluğun önerilen çoklu-DVN yapılandırması yerine tek-DVN kurulumunu tercih eden KelpDAO'da olduğu sonucuna vardı. "Bu olay tamamen KelpDAO'nun tek-DVN kurulumunun doğrudan bir sonucu olarak rsETH yapılandırmasıyla sınırlı kaldı" ifadesini kullandılar.
Kripto Topluluğu 'Sorumluluk Eksikliğini' Eleştiriyor
Kripto topluluğu bu olay sonrası analize güçlü tepki gösterdi ve birçok kişinin LayerZero'nun sorumluluğu KelpDAO'nun güvenlik tercihlerine yüklemesi olarak gördüğü yaklaşımı eleştirdi.
X kullanıcısı Saint şu yorumu yaptı: "Üzerinden geçmek için araçların para ödediği bir köprü inşa ettiğinizi hayal edin, köprü çöküyor ve siz köprüyü geçtikleri için onların suçu olduğunu söylüyorsunuz. Sıfır sorumluluk sahibi bir grup palyaçonun klasik palyaçoluk gösterisi."
Diğerleri, doğası gereği güvensizse "1'e 1" yapılandırma seçeneği sunmanın mantığını sorguladı. Kullanıcı Ditto, "Eğer sistem bu seçeneğe izin veriyorsa, bunu seçen müşterinin hatası değildir - buna izin veren sistemin temel bir tasarım hatasıdır" diye savundu. Şunu da ekledi: "Günün sonunda, DVN RPC'sinin ele geçirildiği gerçeği değişmiyor. DVN bir LayerZero ürünüdür ve bunu bu ekiplere satanlar onlardır."
Chainlink topluluk yöneticisi Zach Rynes, LayerZero'yu kendi DVN düğümünün ele geçirilmesi için suçu başkasına atmakla ve hack sonrasında engellediği, kendisinin desteklediği bir kuruluma güvenen KelpDAO'yu "otobüsün altına atmakla" suçladı.
Yearn Finance geliştiricisi Artem K, X'te saldırının bir RPC düğümünün ele geçirilmesi olarak tanımlandığını ve bunun LayerZero'nun kendi altyapısı olduğunu belirtti. "İhlalin nasıl gerçekleştiği söylenmediği için köprüleri yeniden etkinleştirmek için acele etmezdim" diye ekledi.
Yanlış Teşhis, Yanlış Çözüm mü?
Analist The Smart Ape, LayerZero'nun yanlış bir teşhis koyduğunu ve yanlış çözüm önerdiğini ileri sürdü. LayerZero olay sonrası analizinde, gelecekteki saldırıları önlemek için 1'e 1 DVN yapılandırması kullanan tüm uygulamaların çoklu-DVN kurulumlarına geçmesini önerdi.
Ancak analist, çoklu doğrulayıcı kurulumlarının bir sonraki büyük saldırıyı durdurmayabileceğini savunuyor. Birden fazla DVN'nin hala başarısız olabileceğine dikkat çekiyor çünkü genellikle zincir durumlarını çoğunlukla AWS veya Google Cloud gibi büyük bulut platformlarında yoğunlaşan aynı küçük RPC sağlayıcıları grubundan okuyorlar. Beş "bağımsız" doğrulayıcı da aynı ele geçirilmiş altyapıya güveniyorsa, güvenlik faydası ortadan kalkar. Beş merkeziyetsiz doğrulayıcı ağının (DVN) tümü aynı üç RPC sağlayıcısına güveniyorsa, bu üç RPC'yi ele geçiren bir saldırgan aynı anda beş doğrulayıcının tümünü aldatabilir. Bir analistin açıkladığı gibi, "Tüm doğrulayıcılarınız aynı anda aynı şekilde kandırılırsa, sistem etkin bir şekilde 1'e 1 modele döner. Beş özdeş kopya, beş bağımsız tanıkla aynı şey değildir."
Bu güvenlik açığını ele almak için analist, her doğrulayıcının farklı istemci yazılımı kullanarak, ayrı bulut sağlayıcılarında barındırılan, farklı operasyon ekipleri tarafından yönetilen ve Ethereum ağının farklı bölümlerine bağlı kendi tam düğümünü işletmesini öneriyor. "Çözüm, aynı bileşenlerden daha fazlasını eklemek değil. Gerçek çözüm, doğrulayıcıların sadece zincir durumunu değil, kendi temel altyapılarını da doğrulamasıdır. Bir DVN'in yukarı akış kurulumunu -hangi RPC sağlayıcılarını, istemci yazılımını, bulut hizmetlerini ve bölgeleri kullandığını- denetleyene kadar, 'M-of-N güvenliği' iddiaları, gerçekten uygulanmamış bir özellik için sadece pazarlamadır" diye belirtti. "18 Nisan'da Lazarus Grubu kriptografiyi kırmadı; üç sunucuyu ele geçirdi."
Sıkça Sorulan Sorular
Kripto Topluluğu LayerZero'nun Güvenlik Yaklaşımını Eleştiriyor
Başlangıç Seviyesi Sorular
S1: LayerZero nedir?
C1: LayerZero, farklı blok zincirlerinin birbirleriyle iletişim kurmasına ve veri paylaşmasına olanak tanıyan bir teknolojidir. Genellikle birlikte çalışabilirlik protokolü olarak adlandırılır.
S2: Bahsedilen 290 milyon dolarlık hack ile ne oldu?
C2: 2022'de Wormhole adlı büyük bir çapraz zincir köprüsü yaklaşık 320 milyon dolar değerinde kripto para için hacklendi. Son eleştiriler, bu olaya ihtiyatlı bir örnek olarak atıfta bulunuyor.
S3: Bu bağlamda doğrulayıcılar nedir?
C3: Doğrulayıcılar, bir blok zincirinden diğerine taşınan bir işlemin geçerli ve doğru olduğunu kontrol eden ve onaylayan bağımsız kuruluşlar veya yazılımlardır. Güvenlik için bekçi köpeği görevi görürler.
S4: Kripto topluluğu neden LayerZero'yu eleştiriyor?
C4: Topluluk, LayerZero'nun güvenliği iyileştirme planının sadece daha fazla doğrulayıcı ekleyerek Wormhole olayı gibi büyük bir hack'i önlemek için yeterli olmayabileceğinden endişe duyuyor. Eleştirmenler, temel tasarımın daha güvenli olması gerektiğini savunuyor.
S5: Çapraz zincir köprüsü nedir ve neden risklidir?
C5: Çapraz zincir köprüsü, kripto paraları veya verileri bir blok zincirinden diğerine taşımanıza izin veren bir araçtır. Genellikle hackerların hedefi olurlar çünkü tek bir yerde çok sayıda kilitli fon tutarlar, bu da onları çekici hedefler haline getirir.
Orta/İleri Seviye Sorular
S6: Sadece daha fazla doğrulayıcı eklemeye karşı temel argüman nedir?
C6: Argüman, miktarın otomatik olarak kaliteyi veya tasarımı yenmediğidir. Birden fazla doğrulayıcı aynı kusurlu yazılıma veya güvenlik varsayımlarına güveniyorsa, hepsi birlikte ele geçirilebilir. Bu tek bir başarısızlık noktası sorunudur.
S7: Daha fazla doğrulayıcıya sahip olmaya alternatif güvenlik modelleri var mı?
C7: Evet. Alternatifler şunları içerir:
Dolandırıcılık Kanıtları: Herkesin bir işlemin geçersiz olduğunu sorgulayıp kanıtlayabileceği modeller.
Hafif İstemciler: İşlemleri doğrulamak için blok zincirinin kendi güvenlik mekanizmalarını kullanan modeller.
Ekonomik Güvenlik/Kesme: Doğrulayıcıların kötü niyetli davranmaları durumunda kaybedecekleri kendi kripto paralarından büyük miktarlarda stake etmelerini gerektiren modeller.