Ripple yöneticisiDavid Schwartz RLUSD stablecoin’i için değerlendirilen DeFi köprülerinin güvenlik tarafında ciddi açıklar barındırdığını söyledi. Schwartz’a göre birçok yapı sağlam koruma katmanlarını tam kullanmak yerine operasyonel rahatlığı öne aldı. Son dönemde yaklaşık 292 milyon dolarlık zarara yol açan KelpDAO saldırısı da tam olarak benzer bir zaafın nelere mal olabileceğini gösterdi.
Schwartz Güvenlikte Aynı Zaafı İşaret Etti
Schwartz X üzerinden yaptığı açıklamada Ripple’ın RLUSD stablecoin’i için çeşitli onchain DeFi köprülerini incelediğini belirtti. İnceleme boyunca odağının yalnızca güvenlik ve risk tarafı olduğunu açıkça yazdı. Değerlendirdiği sistemlerin temel güvenlik mimarisinin çoğunlukla güçlü göründüğünü de ekledi. Yine de asıl sorunun kağıt üzerindeki korumadan çok uygulama tercihleri tarafında ortaya çıktığını anlattı.
Ripple yöneticisine göre birçok köprü sistemi en kritik güvenlik mekanizmalarını devreye almak yerine işleyişi kolaylaştıran yolları seçti. Gerekçe de tanıdık: operasyonel maliyet ve karmaşıklık. Schwartz zincirler arası genişlemenin sık sık daha cazip görüldüğünü buna karşılık güçlü koruma önlemlerinin geri planda kaldığını vurguladı.
KelpDAO Saldırısı Endişeleri Daha da Artırdı
Schwartz söz konusu yaklaşımı KelpDAO saldırısıyla benzeştirdi. Ona göre son olayda da kolaylık arayışı kritik güvenlik seçeneklerinin ihmal edilmesine yol açmış olabilir. İlk değerlendirmesinde saldırının KelpDAO’nun LayerZero’nun bazı önemli güvenlik özelliklerini kullanmamasından faydalanmış olabileceğini düşündüğünü söyledi. Daha sonra ise olayın beklediğinden çok daha sofistike olduğunu ve doğrudan LayerZero altyapısını hedef aldığını kabul etti.
Saldırıda KelpDAO ile bağlantılı likit yeniden stake token’ı rsETH hedef alındı. Blockchain tabanlı kayıtlara göre yaklaşık 116.500 rsETH boşaltıldı ve toplam kayıp yaklaşık 292 milyon dolar seviyesinde hesaplandı. Saldırganın daha sonra varlıkları Aave V3 üzerinde teminat göstererek ETH ve WETH borç aldığı ardından izleri gizlemek için fonları Tornado Cash üzerinden taşıdığı aktarıldı. Olayın merkezinde LayerZero’ya bağlı çapraz zincir mesajlaşma altyapısının yer aldığı ifade edildi.