Ana Sayfa
Haberler
Detaylar

Kelp DAO sızıntısı, çapraz zincir köprüleri ve Layer2 güvenliği üzerine tartışmaları tetikledi

iconChaincatcher
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2.316,37%0,25
AI summary iconÖzet

expand icon
Kelp DAO'da son bir güvenlik ihlali, çapraz zincir köprüleri ve Layer2 güvenliği konusunda endişeleri vurgulayan zincir üstü haberlere neden oldu. LayerZero'nun varsayılan tek doğrulayıcı yapıları istismar edildi ve sert eleştiriler çekti. Arbitrum, hackerın cüzdanından 30.766 ETH (71 milyon dolar) dondurup taşıdı ve merkeziyetçilik üzerine tartışmaları körükledi. Olay, DeFi'de merkeziyetsizlik ve güvenlik dengesini kurma tartışmalarını yeniden alevlendirdi.

Yazar: Gu Yu, ChainCatcher

40 saatten fazla bir süredir çalınan Kelp DAO'nun zincirleme etkileri hâlâ devam ediyor; Aave, LayerZero, Arbitrum gibi giderek daha fazla ünlü proje dahil olmak üzere bazı popüler hikâyelerin ölüm kararı alındığı seviyeye ulaşıyor.

Ünlü KOL風無向, X platformunda yalnızca ETH'in güvenli olduğunu ve ARB'nin de müşterilerin varlıklarını dondurma yetkisi verdiğini belirtti. Artık gerçek bir L2 yok gibi görünüyor. L2, Arbitrum'da doğdu ve Arbitrum'da öldü.

Diğer ünlü KOL Blue Fox, bu kelp kazasının en büyük kaybının Aave veya Kelp olmadığını, Layerzero olduğunu söyledi, ancak Layerzero çok kısa vadeli bir bakış açısıyla olayın özünü tam olarak göremiyor. Olayın özü, L2'yi yanlışladığını değil, cross-chain köprüleri yanlışladığını gösteriyor.

Kelp DAO'nun hırsızlık olayı, güvenlik açıkları sorumluluğunun ayrımını, pratikçilik ile teknik köktenciliğin çatışmasını incelemek için tipik bir pencere haline geldi, çünkü kamuoyunda giderek daha fazla çelişkili görüşler ortaya çıkıyor ve olayın tarafları birbirini suçluyor.

Bir: L0 çürütüldü mü? Çapraz zincir köprüleri en büyük kaybedenler oldu

Olayın kritik noktası, LayerZero'nun dün yayınladığı hacker saldırısı detaylı raporudur ve saldırganın ilk değerlendirmede Kuzey Kore kökenli Lazarus Group olduğu düşünülmektedir. Saldırı, onların merkeziyetsiz doğrulama ağı (DVN) tarafından kullanılan alt RPC altyapısını zehirleyerek gerçekleştirilmiştir; saldırganlar, bazı RPC düğümlerini kontrol altına alarak DDoS saldırıları ile birlikte sistemi kötü niyetli düğümlere yönlendirmiş ve böylece çapraz zincir işlemlerini sahtelemişlerdir.

“İnfiltre edilmiş düğümleri kullanarak RPC altyapısını zehirlemek ve etkilenmeyen RPC'lere DDoS saldırısı düzenleyerek zorla geçiş yapmak oldukça karmaşık bir yöntemdir. Bu temelde bir altyapı savaşıdır.” diye değerlendirdi Animoca Brands Yatırım ve İşbirliği Müdürü Samuel Tse.

Raporun sonunda, LayerZero, protokolün olay boyunca tamamen beklenen şekilde çalıştığını belirtti. Protokolde herhangi bir güvenlik açığı tespit edilmedi. LayerZero mimarisinin temel özelliği modüler güvenlik olup, bu durumda tamamen beklenen hedefi gerçekleştirdi ve tüm saldırıyı tek bir uygulama içinde izole etti—sistemde bulaşma riski sıfır ve diğer OFT veya OApp'ler etkilenmedi.

Kendi sorumluluğundan tamamen kaçınma, büyük bir kamuoyu tepkisine neden oldu ve birçok ünlü endüstri uzmanı, LayerZero'nun bu olaydaki performansından memnun kalmadı.

“L0, kendi hatasını tamamen temizledi, makale boyunca tüm sorumluluğu KelpDAO yapılandırma hatasına yükledi ve kendi içinde hiçbir sorun yokmuş gibi gösterdi. Harika. Peki, neden 1/1 yapılandırmasının var olmasına izin verildi? İç RPC listesi neden saldırgan tarafından elde edilebildi? DDoS sonrası failover mantığı, doğrulamayı doğrudan durdurmadan veya en azından bir şey yapmadan, kirlenmiş RPC’ye doğrudan güvenmekte neden devam ediyor?” diye sordu ünlü sektör araştırmacısı CM.

Bu kasıtlı kaçınma tutumu beni çok rahatsız ediyor. Açıklamada açıkça “protokol beklenen şekilde tamamen çalışıyor” yazıyor. Saldırı, RPC düğümünün ele geçirilmesi ve RPC zehirlemesi olarak tanımlanmış. Ancak RPC zehirlemesi böyle değil, kendi altyapıları işgal edilmiş ve zarar görmüş. Açıklamada saldırı nasıl gerçekleştiğine dair hiçbir bilgi verilmediği için, köprüyü yeniden etkinleştirmek için acele etmeyeceğim.” diye belirtti ünlü DeFi geliştiricisi banteg.

Kelp DAO resmi olarak da, bu saldırının nedeni olan tek doğrulayıcı (1/1) yapılandırmasının önerileri görmezden gelme seçimi olmadığını, LayerZero resmi kılavuzundaki varsayılan ayar olduğunu ve saldırganların kullandığı doğrulayıcı ağı (DVN)'nın LayerZero'nun kendi altyapısı olduğunu belirtti.

Dune analizine göre, LayerZero tabanlı 2665 OApp sözleşmesinde %47'si 1/1 DVN yapılandırmasını kullanıyor, yani tek doğrulama mekanizması, bu da endüstrideki risk çarpanını hızla artırıyor.

Daha korkunç olan, sorunların ortaya çıkmasından sonra tarafların hatalarını kabul etmemesi ve bundan kaçınmasıdır. LayerZero, çapraz zincir iletişim ve Layer0 hikayesinin öncüsü olarak, yüzlerce kripto projesi farklı zincirlerdeki token ve varlıkları köprülemek için bu çapraz zincir altyapısını kullanmaktadır. Eğer bu tutumunu korumaya devam ederse, sektörün ona olan güvenini daha da zedeleyecektir.

Kamuoyu, LayerZero'nun doğrudan hacklenmediğini düşünse de, en büyük hasarı gördüğünü ve “zayıf yapılandırmayı izin verme” nedeniyle maliyet ödemek zorunda olduğunu düşünüyor; aksi takdirde çapraz zincir hikayesi çökecektir.

Yani LayerZero, sadece net teknik iyileştirmeler önermekle kalmalı, aynı zamanda varlık tazminat planında daha fazla sorumluluk üstlenmelidir.

İkinci: Layer2 Öldü mü? Arbitrum'un Olağanüstü Dondurulması

Layer2 üzerine yapılan tartışmalar, Arbitrum'un dondurma eyleminden kaynaklanmaktadır. Bugün öğlen, Arbitrum Güvenlik Komitesi, bir hacker tarafından Arbitrum One adresine yerleştirilen 30.766 ETH'nin acil bir şekilde kurtarıldığını ve şu anki değeri 71 milyon dolar olduğunu duyurdu.

Arbitrum, yoğun teknik incelemeler ve görüşmeler sonucu, güvenlik komitesinin diğer tüm zincir durumlarını veya Arbitrum kullanıcılarını etkilemeden fonları güvenli bir yere aktarmak için bir teknik çözüm belirlediğini ve uyguladığını belirtti. Orijinal fonların sahibi olan adresler artık bu fonlara erişemiyor; sadece Arbitrum yönetimi, ilgili taraflarla koordine edilerek bu fonları taşımak için ek adımlar atabilir.

Endüstri uzmanlarının yorumuna göre, Arbitrum Güvenlik Komitesi, ArbOS'un bir parçası olan ancak neredeyse asla kullanılmayan bir yetkili durum üstünlüğü işlem türü kullandı ve saldırganın özel anahtarının hâlâ işlem imzalamasına izin verdi, ancak bu adresin ETH'si zincir tarafından aktarıldı.

Bu özel işlem türü, saldırganın özel anahtarını tamamen atlar ve yalnızca zincir kendisi (Arbitrum Güvenlik Komitesi tarafından kontrol edilen sequencer / ArbOS yükseltme yolu aracılığıyla) enjekte edebilir.

Arbitrum Güvenlik Komitesi, Arbitrum DAO tarafından seçilen 12 bireyden oluşmaktadır ve her karar için 12 kişiden 9’unun onayı gerekmektedir.

Bir taş bin dalga yarattı. Daha önce dışarıdan bakıldığında, Arbitrum temsili bir Layer2 olarak ETH varlıklarını işlemek için yetkiye ve izne sahip değildi, çünkü bu blok zincirinin merkeziyetsizlik ruhuna aykırıydı.

Geçmişteki hacker olaylarında, hackerların çaldığı USDT ve USDC genellikle Tether ve Circle tarafından hemen dondurularak kullanıcı kayıpları azaltılırdı. ETH, zincirin yerel varlığıdır ve tarihte zincir tarafından dondurulması veya aktarılması gibi bir durum hiç yaşanmamıştır; bu da çoğu kullanıcının beklentisinin dışındadır.

Arbitrum'un yaklaşımını destekleyen birçok görüş vardır, örneğin: “Tüm şirketler, bankalar ve resmi finansal kurumlar nihayetinde ikincil bir mimariye geçecektir. Kritik anlarda merkezi bir varlık gibi davranmak bir kusur değil, bir avantajdır.” Ancak bu, daha fazla teknik tutkun için geçerli değildir.

“Anahtar gerekmiyor, izin gerekmiyor, doğrudan transfer.” Birçok görüşe göre, Arbitrum’un bu işlemi Layer2’nin merkeziyetsizlik düzeyini yeniden tanımlamıştır ve bu da onlarda Layer2 üzerinde bir güvensizlik yaratmıştır.

Blue Fox, bu olayın DeFi'nin temel ideolojik kırmızı çizgisini doğrudan aştığını söyledi: "Anahtarlarınız değilse, coinleriniz de değil." Bu olay, kripto dünyasının klasik sorununa geri döndü: pratik güvenlik mi, tamamen merkeziyetsiz güvenlik mi?

Sonuç

LayerZero, "protokol beklenen şekilde tamamen çalışıyor" dediğinde teknik doğruluğu korudu ancak kamuoyunu ve güveni kaybetti; Arbitrum, 71 milyon dolarlık ETH'yi特权交易 ile aktararak kullanıcı fonlarını kurtardı ancak Layer2'nin merkeziyetsizlik hikayesini ciddi şekilde zedeledi.

Kelp çalınma olayı, iki en popüler hikâyeyi aynı anda yargılayıcı masanın önüne taşıyor: Çapraz zincir köprüleri altyapı mı, yoksa risk çarpanı mı? Layer2, Ethereum için güvenilir bir ölçeklendirme mi, yoksa merkeziyetsizlik maskesi altında ikinci bir bankacılık mı?

LayerZero, tek doğrulama düğümü mekanizması nedeniyle saldırıya uğradı; Arbitrum, LayerZero ve Kelp DAO için kayıpları telafi etmek üzere merkezi bir özel oy mekanizması kullandı. Bu, son derece ironik bir döngü oluşturuyor: kendini merkeziyetsiz bir protokol olarak tanıtan bir sistem, “tek nokta zayıflığı” nedeniyle çöktü; sonunda ise başka bir protokolün “merkezi ayrıcalığı”na dayanmak zorunda kaldı.

Bu, sektörü tamamen yeni bir soruyla yüzleşmeye zorluyor: Merkeziyetsizlik idealinin gerçek güvenlik maliyetleriyle çarpıştığında, nihayetinde hangi tarafı fedakârlık etmeye razıyız?

Büyük öykünün tartışması bir kamuoyu odak noktasıken, kullanıcıların tazminat planı başka bir gerçek kamuoyu odak noktasıdır. Arbitrum, teknik yöntemlerle 70 milyon doların üzerindeki fonları geri kazansa da, Aave hâlâ 200 milyon dolarlık kötü borçlara sahiptir; kullanıcıların çıkarları nasıl yeterli şekilde korunacak ve güvence altına alınacak?

Çoğu hakerlik olayında, milyon dolarlık kayıplar protokol için felaket düzeyinde olur ve kullanıcıların tazminat talepleri genellikle sonuçsuz biter. Ancak bu olay, Aave ve Layerzero gibi önde gelen projeleri kapsadığı için kötü kredi yönetimine yönelik çözümler büyük ilgi görüyor.

Aave, bugün iki olası kredi zararı çözüm önerisi sunuyor; birincisi, tüm rsETH sahipleri arasında kayıpların sosyalleştirilmesi (zincir genelinde paylaşma), Kelp DAO'nun tüm rsETH'leri (ana ağ + L2) tek bir değer düşürmesi (yaklaşık %15 sapma); ikincisi, yalnızca L2'deki rsETH sahiplerinin tüm kayıpları taşıması ve ana ağ rsETH'in değerinin korunması.

Ancak Kelp DAO, LayerZero resmî kuruluşuyla hâlâ tazminat planındaki rolleri hakkında konuşmadı. LayerZero'nun raporunda sorumluluktan kaçınma çabası, projenin sorumluluk olmadıkça tazminat yükümlülüğü olmadığını düşündüğünü göstermektedir.

Ancak, onlarca milyar dolar değerinde bir protokolün, yüzlerce proje tarafından temel bağımlılık olarak görüldüğü halde, DVN varsayılan yapılandırmasından kaynaklanan büyük kayıplara karşı “teknik sorumluluk reddi” seçmesi, “temel altyapı” tanımına büyük bir ironi sunmaktadır.

Bu, krizdeki tarafların sektördeki güvenirlik açığını gidermek yerine, kendi kayıplarını minimize etmek için "fayda kesimi" yapmaya çalıştığı tipik bir hapishane ikilemidir.

Bu olayın sektörün tüm taraflarına olan olumsuz etkileri göz önüne alındığında, DeFi alanına göre bu, en tehlikeli hapishane ikilemi olacaktır.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.