Kelp DAO Açığından Çalınan Fonlar Hareket Halinde: Saldırgan, 175 Milyon Dolarlık ETH'yi Yeni Cüzdanlara Taşıyor

Kelp DAO'daki yaklaşık 290 milyon dolarlık açığın arkasındaki kişi, çalınan fonları gizlemenin ilk aşamaları olarak görülen bir dizi işlemle büyük miktarda Ether'i yeni cüzdan adreslerine taşımaya başladı. Arkham'dan alınan verilere göre, olayla bağlantılı adres, Salı günü üç işlemle yaklaşık 75.700 Ether (yaklaşık 175 milyon dolar değerinde) transfer etti.

Bu hareketler arasında yeni oluşturulan bir cüzdana 25.000 ETH transferi ve başka bir adrese 50.700 ETH ve 0.7 ETH'lik ek transferler yer aldı. Zincir üstü araştırmacı ZachXBT, Telegram'daki bir güncellemede, çalınan fonların bir kısmının THORChain ve Umbra gibi gizliliğe odaklı altyapı üzerinden akmaya başladığını belirtti. Yaklaşık 1.5 milyon dolar değerinde üç THORChain işlemine ek olarak, Umbra üzerinden yönlendirilen 78.000 dolarlık ayrı bir transfer tespit etti.

Açığın kendisi, Cumartesi günü Kelp DAO'nun LayerZero üzerine kurulu köprüsünden, o sırada 290 milyon ila 293 milyon dolar değerinde yaklaşık 116.500 yeniden stake edilmiş Ether (rsETH) çalındığında meydana geldi. LayerZero, açığı Kelp DAO'nun 1-of-1 merkeziyetsiz doğrulayıcı ağını kullanmasına bağladı ve tek bir doğrulayıcı yoluna güvenmenin çapraz zincir mesaj doğrulaması için bir 'tek arıza noktası' oluşturduğunu savundu. Firma, daha önce böyle bir kurulum konusunda uyardığını ve yüksek değerli dağıtımlar için çoklu doğrulayıcı yapılandırmaları önerdiğini söyledi.

Son transferler, Arbitrum'un 12 üyeli güvenlik konseyinin açığa bağlı 30.766 ETH'yi dondurmak için müdahale ettiğini doğrulamasıyla kısa bir süre sonra geldi. Fonlar, yalnızca yönetişim kararlarıyla erişilebilen bir 'ara dondurulmuş ara cüzdana' taşındı. Açığın dalgalanma etkileri, saldırganın çalınan varlıkları teminat olarak kullanarak fon ödünç aldığı Aave'ye kadar uzandı. İlk tahminler 195 milyon dolarlık bir açığı gösteriyordu, ancak Aave daha sonra olay raporunda yaklaşık 123.7 milyon dolardan 230.1 milyon dolara kadar değişen iki olası senaryoyu özetledi.

THORChain gibi emanetçi olmayan platformların kullanımı, kurtarma çabalarına karmaşıklık katıyor, çünkü bu tür protokoller geleneksel Müşterini Tanı (KYC) kontrollerini uygulamıyor ve varlıklar zincirler arasında hareket etmeye başladıktan sonra fon takibini zorlaştırıyor. LayerZero yapılandırma seçimlerini temel sorun olarak gösterirken, ayrıca Kuzey Kore'nin Lazarus Group'unun saldırının arkasında olabileceğini de öne sürdü. Kelp DAO, bu çerçevelemeyi reddetti ve sözde 'tek doğrulayıcı' kurulumun güvensiz bir özelleştirme değil, LayerZero'nun belgelenmiş varsayılanlarının bir parçası olduğunu savundu.

Ekip, tehlikeye giren doğrulayıcı yığının 'LayerZero'nun kendi altyapısının bir parçası' olduğunu, üçüncü taraf bir bileşen olmadığını söyledi. Güvenlik araştırmacıları daha sonra, köprünün 1-of-1 DVN yapısına dayandığını, yani çapraz zincir mesajlarını doğrulamak için tek bir imzanın yeterli olduğunu doğruladı. Analistler, böyle bir tasarımın sahte bir talimatın meşru olarak geçmesine izin verdiğini ve sonuçta 116.500 rsETH'nin saldırganın cüzdanına serbest bırakılmasını sağladığını belirtti. Kelp DAO, LayerZero'nun kamuya açık kodunu ve yapılandırmalarını ağlar arasında uyguladığını, sorumluluğun yalnızca uygulama katmanına değil, aynı zamanda temel altyapı sağlayıcısına da ait olabileceğini öne sürüyor.

Sonuç olarak: Kelp DAO'daki büyük çaplı bir güvenlik açığı, saldırganın çalınan fonları gizlemek için yaptığı hareketlerle yeni bir aşamaya ulaştı. Bu durum, hem merkeziyetsiz finans (DeFi) ekosistemindeki güvenlik açıklarının altını çiziyor hem de ilgili platformlar ve zincirler için potansiyel riskleri ortaya koyuyor. Olayın etkileri, Arbitrum, Aave ve LayerZero gibi çeşitli platformlarda hissedilirken, fonların kurtarılması ve sorumluluğun belirlenmesi için çalışmalar devam ediyor.