Cardano’nun kurucusu Charles Hoskinson son YouTube yayınında yaklaşık 292 milyon dolarlık KelpDAO saldırısının yalnızca bir köprü protokolü arızası olmadığını söyledi. Hoskinson, olayın Ethereum’un restaking, zincirler arası mesajlaşma ve borç verme altyapısında tek bir güvenlik ihlalinin sistem geneline yayılan bir bulaşma riskine dönüşebileceğine dair daha geniş bir uyarı taşıdığını savundu.
Kırılgan Noktalar Açığa Çıkarıldı
Hoskinson’un anlatımına göre 18 Nisan’daki saldırı, modern DeFi yapısının en kırılgan noktasını ortaya çıkardı. Ona göre sorun, her zaman uygulama seviyesindeki akıllı sözleşmelerde değil. Asıl risk, protokoller arasında yer alan doğrulama katmanlarında ve birbirine bağlı yapılarda bulunuyor.
Yaklaşık 116.500 rsETH’nin KelpDAO’nun Ethereum emanet hesabından çekildiği saldırıya dikkat çeken Hoskinson, olayın sektör genelinde daha geniş bir tartışmayı zorunlu kılması gerektiğini söyledi. Tartışmanın köprü güven varsayımlarına, doğrulayıcı tasarımına ve kötü teminatın borç verme piyasalarına ne kadar hızlı yayılabildiğine odaklanması gerektiğini belirtti.
Cardano Kurucusu Ethereum DeFi’nin Kalbindeki Tehlikeli Kusura Dikkat Çekti
Standart bir olay sonrası değerlendirme paylaşmak yerine Hoskinson, kurum içi olay raporu materyallerini kullandığını söyledi. Ardından bu materyalleri yapay zeka yardımıyla, izleyicilere saldırının işleyişini adım adım anlatan bir internet sitesine dönüştürdüğünü ifade etti. Oluşan yapı, onun daha büyük argümanını da çerçeveledi.
Hoskinson’un anlatımına göre başarısızlık, KelpDAO’nun kendi içinde bozuk sözleşme matematiğiyle başlamadı. Ona göre sorun, LayerZero tarafında açıkça görülen bir muhasebe hatasından da kaynaklanmadı. Bunun yerine olayın merkezinde, meşru kabul edilen sahte bir zincirler arası mesaj yer aldı. Söz konusu mesajın Ethereum üzerinde fonların serbest bırakılmasına izin verdiğini söyledi. Cardano kurucusu, bunun yeni ve farklı bir saldırı türü olduğunu söyledi.
Hoskinson özellikle tek bir tasarım tercihine tekrar tekrar dikkat çekti. Buna göre bildirilen yapı, bire bir doğrulayıcı konfigürasyonuna dayanıyordu. Kendi açıklamasında en iyi uygulamanın üçte beş gibi çoklu doğrulayıcı modeline dayanması gerektiğini söyledi. Ancak KelpDAO’nun sisteminin tek bir aktif DVN’ye bağlı kaldığını ifade etti. Ona göre bu yapı, staking sarmalayıcıları, restaking protokolleri, köprüler ve borç verme platformlarıyla katman katman büyüyen bir sistemde kabul edilemez bir tek hata noktası oluşturdu.
Sorumluluğa Vurgu Yaptı
Hoskinson ayrıca sektörde sorumluluğun tam olarak nerede başladığına dair halen netleşmiş bir tablo bulunmadığını vurguladı. Onun özetine göre saldırının ardından üç ayrı kök neden analizi ortaya çıktı. Bunlardan biri LayerZero’dan geldi. Biri KelpDAO tarafından hazırlandı. Diğeri ise LlamaRisk ile Aave yönetişim tartışmalarına bağlanan değerlendirmelerden oluştu. Ancak bu analizlerin hiçbiri tam anlamıyla birbiriyle örtüşmedi. Yaşananlar da kırılmanın mesajlaşma katmanında mı, doğrulayıcı kurulumunda mı, KelpDAO’nun kabul mantığında mı yoksa bütün bu yapıların birleştiği ara yüzeylerde mi yaşandığı sorusunu açık bıraktı.
Hoskinson’a göre olayı asıl önemli kılan unsur yalnızca hırsızlığın kendisi değildi. Asıl kritik nokta, saldırının ardından yaşanan gelişmelerdi. Ona göre saldırgan, çalınan rsETH’yi merkeziyetsiz borsalarda hızla elden çıkarmak yerine farklı bir yol izledi. İddiaya göre bu varlıklar, borç verme piyasalarında teminat olarak kullanıldı ve karşılığında daha likit varlıklar ödünç alındı. Böylece saldırı, tek bir protokolde yaşanan güvenlik ihlali olmaktan çıktı. Diğer protokollerin bilançolarını etkileyen daha geniş bir soruna dönüştü. Hoskinson bu sürecin geride “zehirli teminat” bıraktığını söyledi.
Olayın Asıl Yenilik Taşıyan Kısmı
Ona göre olayın asıl yenilik taşıyan yanı da tam burada ortaya çıktı. Hoskinson, yaşananların sıradan bir köprü saldırısından ibaret olmadığını söyledi. Sürecin borç verme piyasalarına sıçradığını ve bunun ilgili protokoller içinde kötü borç bulaşmasına yol açtığını belirtti. Yaşananların bir banka kaçışı etkisi oluşturduğunu savundu. Ayrıca 290 milyon dolarlık bir saldırının ardından çok kısa sürede 13 milyar dolarlık toplam kilitli varlığın sistemden çekildiğini ifade etti.
Cardano kurucusu, DeFi tarafındaki daha geniş likidite şokunun yalnızca KelpDAO ile sınırlı kalmadığını da vurguladı. Kendi anlatımında yer verdiği kamuya açık haberlere atıf yaparak en az dokuz protokolün doğrudan etkilendiğini söyledi. Aave tarafında tek başına 6,6 milyar dolar ile 8,45 milyar dolar arasında kayıp görüldüğünü öne sürdü. Ayrıca rsETH’nin saldırıdan sonraki 24 saat içinde yaklaşık 1.600 dolar ile 2.500 dolar arasında sert dalgalandığını belirtti.
Hoskinson, Lazarus bağlantısı ihtimalini de gündeme getirdi. Ancak bu konuda kesin bir sonuca ulaşılmadığını kabul etti. Elinde Lazarus bağlantılarına işaret eden çok sayıda unsur bulunduğunu söyledi. Yine de hiçbir bağımsız adli inceleme şirketinin bunu kesin biçimde kanıtlamadığını ekledi.