Önemli Çıkarımlar
LayerZero Labs, KelpDAO’nun rsETH köprüsünden yaklaşık 292 milyon doların çekildiği 18 Nisan saldırısının detaylarını paylaştı. Kayıp, ele geçirilen RPC altyapısına ve tek bir hata noktası içeren güvenlik kurulumuna bağlandı.
LayerZero yayınladığı analiz raporunda, "Olay sadece KelpDAO’nun rsETH kurulumuyla sınırlıydı; çünkü uygulama, tek doğrulayıcı olarak yalnızca LayerZero Labs'ın bulunduğu 1'e 1 DVN yapılandırmasına dayanıyordu," diyerek bunun mevcut güvenlik tavsiyelerine aykırı olduğunu belirtti.
Saldırganlar, doğrulayıcıya sahte işlem verileri beslemek için iki RPC düğümünü zehirleyerek yaklaşık 116.500 rsETH çaldı. Aynı zamanda diğer düğümlere DDoS saldırısı düzenleyerek sistemi ele geçirilen altyapıya geçmeye zorladılar; böylece kaynak zincirde hiç gerçekleşmemiş sahte çekim işlemlerinin onaylanmasını sağladılar.
2026'nın en büyük saldırılarından biri olan bu olay, LayerZero'yu tek doğrulayıcılı yapılandırmalara desteği sonlandırmaya zorladı. Tüm entegre projeler, benzer altyapı düzeyi saldırıların protokol düzeyinde kayıplara yol açmasını önlemek için çoklu imza modellerine yönlendiriliyor. Chainalysis dahil olmak üzere analiz firmalarının adli incelemeleri, saldırıyı Kuzey Kore bağlantılı Lazarus Group'un bir alt kolu olan TraderTraitor ile ilişkilendirdi.
Raporda LayerZero, saldırının ana protokolde, akıllı sözleşmelerde veya DVN yazılımında bir kusurdan ziyade bir altyapı ihlali olduğunu vurguladı. Saldırganlar, LayerZero Labs DVN tarafından kullanılan RPC listesine erişti, iki düğümü ele geçirdi ve ikili dosyaları (binaries) kötü amaçlı kodlarla değiştirdi. Bu, izleme servislerine normal veriler döndürürken doğrulayıcıya sahte mesajlar göndermelerine olanak tanıyarak saldırıyı gizlemelerini sağladı.
Şirketin anlık müdahalesi, etkilenen tüm RPC düğümlerini devre dışı bırakmayı ve kolluk kuvvetleriyle iletişime geçmeyi içeriyordu. Daha da önemlisi LayerZero, büyük bir politika değişikliğine giderek DVN'sinin "1/1 yapılandırmasını kullanan hiçbir uygulamanın mesajını imzalamayacağını veya tasdik etmeyeceğini" belirtti. Firma şu anda projeleri bu tek hata noktalı kurulumlardan yedekli, çoklu doğrulayıcı modellerine taşıyor.
Bu olay, DeFi protokollerinin zincir dışı ve merkezi bileşenlerini hedef alan daha büyük bir saldırı trendinin parçasıdır. Benzer bir saldırı 19 Mayıs'ta Echo Protocol'ün başına gelmiş ve ele geçirilen bir yönetici anahtarı sayesinde saldırgan Monad ağında izinsiz eBTC basarak yaklaşık 816.000 dolar çalmıştı. Güvenlik firması Statemind'ın kurucu ortağı Misha Putiatin, DeFi'nin zincir dışı altyapıya daha bağımlı hale gelmesiyle, anahtar yönetimi ve operasyonel altyapıyı hedef alan "Web2.5 tarzı saldırıların" arttığını belirtti.
KelpDAO saldırısı, Drift Protocol'ün Nisan ayındaki 285 milyon dolarlık istismarını geride bırakarak yılın en büyük olaylarından biri oldu. Bu durum, akıllı sözleşmeler ne kadar güvenli olursa olsun, bir protokolün güvenliğinin ancak en zayıf zincir dışı halkası kadar güçlü olduğunu hatırlatıyor. LayerZero'nun kullanıcılarına daha katı güvenlik standartları dayatma hamlesi, esnek yapılandırma seçeneklerinin sistemik risk oluşturabileceğinin bir kabulüdür.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
