Önemli Çıkarımlar:
Zincirler arası mesajlaşma protokolü LayerZero, Nisan ayında Kelp DAO'nun 292 milyon dolarlık istismarına yol açan kritik bir güvenlik açığı için sorumluluğu açıkça kabul etti ve ağ çapında bir güvenlik revizyonu taahhüt etti.
Ayrıntılı bir olay sonrası analizinde LayerZero yöneticileri, yüksek değerli bir uygulamanın tek bir hata noktası oluşturan tekli doğrulayıcı yapılandırmasıyla çalışmasına izin verdikleri için tüm sorumluluğu üstlendiler. Şirket, ilk iletişimlerinden önemli bir geri dönüş yaparak, "DVN'mizin neyi güvence altına aldığını denetlemedik, bu da görmediğimiz bir risk yarattı" dedi.
Kuzey Koreli Lazarus Group'a atfedilen 18 Nisan saldırısı, 2026'nın en büyük DeFi güvenlik ihlali olmaya devam ediyor. LayerZero temel protokolü tehlikeye girmemiş olsa da, saldırganlar LayerZero Labs'ın kendi Merkeziyetsiz Doğrulayıcı Ağı (DVN) tarafından kullanılan veri kaynağını zehirlediler. Bu durum Kelp DAO'dan 117.132 rsETH çalınmasına olanak tanıdı ve bu miktarın bir kısmı daha sonra Aave borç verme protokolünde teminat olarak kullanılarak yaklaşık 190 milyon dolarlık kötü borç oluşturdu.
Olayın sonuçları, zincirler arası köprü güvenliğinin ve geliştirici özerkliği ile protokol düzeyindeki korumalar arasındaki dengelerin daha geniş bir sektör değerlendirmesini zorunlu kılıyor. Doğrudan bir sonuç olarak Kelp DAO, LayerZero'dan Chainlink'in Zincirler Arası Birlikte Çalışabilirlik Protokolü'ne (CCIP) geçtiğini duyurdu ve Aave ile koordine edilen ilk kurtarma adımlarının ardından rsETH çekimlerini yeniden başlatmaya başladı.
LayerZero, ekosistemindeki savunmasızlığı ortadan kaldırmak için derhal harekete geçti. Şirket, DVN'sinin artık hiçbir proje için 1-of-1 kurulumları desteklemeyeceğini duyurdu. Varsayılan yapılandırmalar, birden fazla doğrulayıcı gerektirecek şekilde yükseltiliyor; ideal olarak beş veya seçeneklerin sınırlı olduğu durumlarda en az üç.
Kelp DAO, kalan LayerZero köprüleme ayarlarını dört bağımsız onaylayıcı gerektirecek şekilde güncellediğini ve blok onaylarını 42'den 64'e çıkardığını doğruladı.
Saldırı ayrıca daha geniş bir kurtarma çabasını da tetikledi. Aave, etkilenen protokolleri desteklemek için 300 milyon doların üzerinde ETH toplayan DeFi United adlı bir girişime öncülük etti. Ancak, bir ABD mahkemesinin Arbitrum ağında saldırganla bağlantılı 72 milyon dolarlık dondurulmuş ETH üzerine kısıtlamalar getirmesi nedeniyle, kurtarılan bazı fonların kullanımı yasal zorluklarla karmaşıklaştı.
LayerZero, olaya rağmen Nisan ortasından bu yana protokol üzerinden 9 milyar doların üzerinde değerin sorunsuz bir şekilde transfer edildiğini belirtti. Şirket, güveni yeniden inşa etmek amacıyla projelerin yapılandırmaları yönetmesine ve anormallikleri tespit etmesine yardımcı olmak için Rust tabanlı bir DVN istemcisi ve geliştirilmiş bir Console platformu da dahil olmak üzere yeni araçlar sunuyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
