Kelp DAO, LayerZero'nun 292 milyon dolarlık rsETH köprü istismarına ilişkin sonrası raporunu kamuoyu önünde çürüterek, içinde LayerZero personelinin LayerZero'nun sonradan saldırının uygulama düzeyindeki nedeni olarak gösterdiği 1-of-1 doğrulayıcı yapılandırmasını onayladığını iddia ettiği Telegram ekran görüntülerini barındıran "Setting the Record Straight Around the LayerZero Bridge Hack" başlıklı bir not yayımladı. LayerZero'nun Kuzey Kore'nin Lazarus Grubuna bağladığı istismar, 18 Nisan'da 116.500 rsETH — yaklaşık 292 milyon dolar — boşalttı; Kelp sözleşmelerini durdurmadan önce LayerZero Labs DVN tarafından 100 milyon doların üzerinde değerde iki sahte işlem daha imzalanıp işlendi.
Neden önemli
Tartışma, 1-of-1 kurulumunun kime ait olduğu noktasında düğümleniyor. LayerZero'nun 19 Nisan tarihli sonrası raporu, Kelp'in rsETH uygulamasının tek doğrulayıcı olarak LayerZero Labs'a güvendiğini ve bu düzenlemenin LayerZero'nun önerdiği çoklu DVN modeliyle "doğrudan çeliştiğini" söyledi. Kelp'in notu sert bir karşılık veriyor: protokol, LayerZero personelinin 2,5 yılı aşkın süre boyunca sekiz entegrasyon görüşmesinde yapılandırmaları gözden geçirdiğini ve bu kurulumu maddi bir risk olarak hiç işaretlemediğini belirtiyor; ekran görüntülerinden birinde bir LayerZero ekip üyesi varsayılan DVN kurulumunun kullanılmasının "sorun olmadığını" yazıyor — Kelp de atıfta bulunulan "varsayılanların" sonradan suçlanan 1-of-1 yapılandırması olduğunu savunuyor.
Not ayrıca daha önce LayerZero için denetim yapan Spearbit güvenlik araştırmacısı Sujith Somraaj'a atıfta bulunuyor; Somraaj X üzerinde aynı saldırı örüntüsünü anlatan bir bug bounty raporu sunduğunu ve kendisine bunun "bir zafiyet olmadığı" söylendiğini belirtti. LayerZero'nun Immunefi bug bounty kapsamı, "kendi yanlış yapılandırmalarının bir sonucu olarak OApp'lerin kendilerine gelen etkileri" dışarıda bırakıyor; OFT Quickstart şablonları ise isteğe bağlı DVN ayarlanmaksızın LayerZero Labs'ı zorunlu DVN olarak gösteriyor — Kelp'e göre bunlar, tek DVN'li yolun kullanıcı hatası değil, desteklenen varsayılan olduğuna dair kanıtlar.
Piyasa etkisi
CoinGecko'nun aktardığı Dune Analytics verileri, LayerZero'nun 2.665 civarındaki aktif OApp sözleşmesinin yaklaşık %47'sinin, 22 Nisan civarında sona eren 90 günlük dönemde 1-of-1 DVN yapılandırmasıyla çalıştığını ve aynı risk sınıfına maruz 4,5 milyar doların üzerinde ilişkili piyasa değeri bulunduğunu ortaya koydu.
Sıkça sorulan sorular
-
292 milyon dolarlık Kelp DAO istismarı nedir ve kim suçlanıyor?
18 Nisan'da saldırganlar Kelp'in LayerZero destekli köprüsünden 116.500 rsETH — yaklaşık 292 milyon dolar değerinde — boşalttı. LayerZero saldırıyı Kuzey Kore'nin Lazarus Grubuna bağlayarak LayerZero Labs DVN'nin kullandığı iki RPC düğümünün ele geçirildiğini ve istismar öncesinde üzerlerinde çalışan ikili dosyaların…
-
Kelp, LayerZero'nun sonrası raporunu neden tartışıyor?
LayerZero'nun 19 Nisan tarihli sonrası raporu, Kelp'in rsETH uygulamasının tek doğrulayıcı olarak LayerZero Labs'a güvendiğini ve kurulumun LayerZero'nun önerdiği çoklu DVN modeliyle "doğrudan çeliştiğini" söyledi. Kelp'in notu ise LayerZero personelinin 2,5 yılı aşkın süreyle ve sekiz entegrasyon görüşmesinde…
-
Kelp iddiasını desteklemek için hangi kanıtları yayımladı?
Kelp'in notu, varsayılan DVN kurulumunu kullanmanın "sorun olmadığını" söyleyen bir LayerZero ekip üyesini gösteren Telegram ekran görüntülerini içeriyor. CoinDesk ekran görüntülerini bağımsız olarak doğrulayamadığını belirtti. Kelp ayrıca LayerZero'nun Immunefi bug bounty kapsamına, OFT Quickstart şablonlarına ve…
-
Aynı riske kaç LayerZero uygulaması maruz kaldı?
CoinGecko'nun aktardığı Dune Analytics verileri, LayerZero'nun yaklaşık 2.665 aktif OApp sözleşmesinin %47'sinin 22 Nisan civarında sona eren 90 günde 1-of-1 DVN yapılandırmasıyla çalıştığını ve aynı risk sınıfına maruz 4,5 milyar doların üzerinde ilişkili piyasa değeri bulunduğunu gösterdi.
-
Kelp, saldırı karşısında ne yapıyor?
Kelp, rsETH'yi LayerZero'nun OFT standardından Chainlink'in Cross-Chain Interoperability Protocol'üne taşıyor. LayerZero ise 1-of-1 DVN kurulumunu yasakladığını ve bu kurulumu çalıştıran hiçbir uygulama için artık mesaj imzalamayacağını söyledi — bu politika değişikliği yalnızca istismardan sonra yürürlüğe girdi.
CoinDesk