KelpDAO'nun 294 milyon dolarlık sızıntısı, tek doğrulayıcı güvenlik riskleri üzerine tartışmaları tetikledi

Son KelpDAO olayı, akıllı sözleşmeler içinde değil, altyapı katmanında başladı ve bu da beklenen güvenlik kontrollerini atlamasına izin verdi. Saldırganlar, akıllı sözleşme mantığı yerine, çapraz zincir transferlerini doğrulayan mesajlaşma sistemini hedef aldı.

Geçerli RPC düğümlerini bastırdılar ve zararlı düğümler ekledi, bu da sistemin manipüle edilmiş veri girdilerine dayanmaya zorlanmasına neden oldu. LayerZero'e göre, saldırı, KelpDAO'nun tek bir DVN kullandığı için çalışmış ve herhangi bir yedek doğrulama katmanını kaldırmıştır.

Sistem yanlış mesajı güvenilir kabul ettikten sonra, desteksiz yaklaşık 116.500 rsETH, yaklaşık 294 milyon dolar değerinde, serbest bırakıldı. Süreç dakikalar içinde tamamlandı, böyle hataların ne kadar hızlı büyüyebileceğini vurguladı. Bu, çapraz zincir sistemlerinin zayıf doğrulama tasarımı nedeniyle hızlı kayıplara ve piyasa güveninin zayıflamasına yol açabilecek yapısal risklerle karşı karşıya olduğunu gösterir.

18 Nisan'daki olay, muhtemelen Lazarus Group'un TraderTraitor birimine ait olup, sistemin veri katmanını hedef alan koordine bir operasyona işaret ediyor. Grup, akıllı sözleşmeleri değil, ağaş veri sağlayıcı RPC node'larını hedef aldı.

Bu node'lar, çapraz zincir transferlerinin geçerli olup olmadığını kontrol eden bir doğrulama sistemi olan DVN'ye veri sağlar. Saldırgan, izleme araçları için normal yanıtları korurken, bazı RPC node'larını kontrol altına alarak doğrulama için gönderilen verileri değiştirdi.

Güvenlik önlemleri etkin kalırken, sağlıklı node'ları bozdu ve sistem, işlenmiş verilere dayanmaya zorlandı. Bu, sahte işlemlerin geçerli olarak geçmesine izin verdi.

Bu yaklaşım, güvenli sistemlerin de yeterli yedek kontroller olmadan veri kaynaklarına güvenilirse başarısız olabileceğini göstermektedir.

KelpDAO olayı, saldırının nasıl gerçekleştiğine dair tartışmayı, sistemin tasarımının kendisinin hâlâ sürdürülebilir olup olmadığına dönüştürdü. Köprü, maliyeti düşürmek ve hızı artırmak için tek bir doğrulayıcıya dayanıyordu; bu nedenle birçok protokol benzer kurulumları benimsedi. Ancak bu tasarım, tek bir güvenilir kaynaktan her zaman doğru davranış beklemekteydi.

Bu varsayım başarısız olduktan sonra kayıplar hızla 294 milyon dolara yakın bir seviyeye yükseldi ve bu yapının ne kadar kırılgan olduğunun kanıtı oldu. Bu sonuç, özellikle daha fazla değer zincirler arasında aktarıldıkça, verimliliğin dayanıklılık maliyetiyle elde edildiğini vurgulamaktadır.

Analist Darkfost, güçlendiriyor, LayerZero'nun artık tek taraflı 1/1 DVN yapılandırmalarını desteklemeyeceğini belirterek, zayıf yapılandırmalardan uzaklaşmanın sinyalini veriyor. Bu, DeFi'nin maliyeti artırıp yürütme hızını yavaşlatsa bile artan yedekliliği öncelikli hale getirebileceğini ima ediyor.

• KelpDAO sızıntısı, tek bir doğrulayıcı tasarımı nedeniyle 294 milyon dolarlık bir kayıp yaşanmasına ve çapraz zincir doğrulama sistemlerindeki yapısal güvenlik açıklarına işaret etmektedir.
• Olay, DeFi'yi çoklu doğrulayıcı güvenliği yönüne itiyor, çünkü tek bir güvenirlik noktasına bağımlılık sistemik riski artırıyor ve güveni zayıflatıyor.