Geçtiğimiz Ay Yaşanan KelpDAO Hack Olayında Suçlanan LayerZero’dan (ZRO) Olaya Dair İlk Rapor Geldi

LayerZero, KelpDAO’nun rsETH köprüsüne yönelik Nisan ayında gerçekleşen büyük saldırıya ilişkin kapsamlı olay raporunu yayımladı.

Rapora göre, 18 Nisan’da gerçekleşen saldırıda yaklaşık 116.500 rsETH çalındı. Çalınan varlıkların toplam değerinin yaklaşık 292 milyon dolar olduğu belirtildi. Birden fazla güvenlik şirketi saldırının arkasında Kuzey Kore bağlantılı TraderTraitor (UNC4899) hacker grubunun bulunduğunu değerlendirdi.

Şirketin açıklamasına göre saldırı, doğrudan LayerZero protokolünü veya diğer OApp’leri hedef almadı. Saldırının yalnızca KelpDAO’nun tek doğrulayıcı yapılandırmasına sahip rsETH köprüsünü etkilediği ifade edildi. LayerZero, olayın temelinde altyapı seviyesinde gerçekleştirilen gelişmiş bir sosyal mühendislik operasyonunun bulunduğunu belirtti.

Rapora göre saldırganlar, 6 Mart itibarıyla LayerZero Labs geliştiricilerine ait oturum anahtarlarını sosyal mühendislik yöntemleriyle ele geçirdi. Daha sonra şirketin RPC bulut ortamına sızan saldırganlar, dahili RPC node’larını manipüle ederek sistemlere bellek yamaları yerleştirdi. Bu node’ların izleme araçlarına normal veri döndürmeye devam ettiği, ancak LayerZero’nun DVN (Decentralized Validator Network) sistemine değiştirilmiş blockchain durumu bilgileri sağladığı aktarıldı.

Saldırganların aynı zamanda harici RPC sağlayıcılarına yönelik DoS saldırıları düzenlediği ve böylece DVN sisteminin yalnızca ele geçirilmiş dahili node’lara bağımlı hale geldiği belirtildi. Bu süreç sonunda sahte zincirler arası mesajlar için geçerli kanıtlar üretildiği ve KelpDAO’nun tek doğrulayıcı yapılandırması nedeniyle rsETH sözleşmesinin bu kanıtları kabul ederek varlıkların serbest bırakıldığı ifade edildi.

Olayın ardından LayerZero Labs’ın güvenlik mimarisinde önemli değişikliklere gittiği açıklandı. Şirket, DVN kullanan kanallar için minimum güvenlik yapılandırmalarını zorunlu hale getirdiğini ve artık tek doğrulayıcı olarak imza vermeyi reddedeceğini duyurdu. Ayrıca etkilenen altyapının sıfır güven (zero-trust) mimarisi temelinde tamamen yeniden inşa edildiği ve anlık yetki yükseltme mekanizmalarının devreye alındığı belirtildi.

LayerZero, ekosistem ortaklarıyla birlikte güvenlik yapılandırmalarını güçlendirmeye devam ettiklerini ve saldırının soruşturulması, fail tespiti ile fon hareketlerinin izlenmesi konusunda kolluk kuvvetleri ve güvenlik şirketleriyle iş birliği yürüttüklerini de sözlerine ekledi.