Hafta sonu, KelpDAO, 290 milyon dolarlık rsETH ile istila edildi. KelpDAO, çapraz zincir köprüsü olarak LayerZero’yu kullanıyor ve LZ ekibi, olayın sorumlusunun yalnızca KelpDAO olduğunu belirten bir post-mortem yazdı. İşte hainliğin nasıl gerçekleştiğine dair detaylar. Temel olarak, saldırgan, KelpDAO tarafından entegre edilen tek bir DVN’de (Merkeziyetsiz Doğrulama Ağı) kullanılan RPC’lerin bir kısmını ele geçirdi, dürüst uç noktaları DDoS saldırılarına maruz bıraktı ve ardından zehirli RPC’leri kullanarak çapraz zincir mesajı yarattı. Evet, KelpDAO’nun köprü örneğini güvence altına almak için tek bir DVN kullanmaması gerekirdi. Bu aptalca bir kararydı. Ancak bu tek DVN’yi kim işletiyor – RPC’lerin ele geçirildiği o DVN’yi? LayerZero Labs – köprünün geliştiricileri. Açıkça görülüyor ki, burada yalnızca KelpDAO değil, diğer taraflar da sorumlu. Sorularım: 1) Saldırganlar, LayerZero Labs’in RPC altyapısına nasıl erişti? 2) Neden tek DVN’ler hâlâ izin veriliyor? 3) Bugün çapraz zincir güvenliği için minimum standartlar nasıl değerlendirilmeli: DVN sayısı mı, altyapı sağlayıcı çeşitliliği mi, yoksa açık bir “tek bir başarısızlık noktası olmaması” kriteri mi? DeFi için şu an zor bir dönem. İşte sert post-mortem: https://t.co/P647A4QdpQ