Kelp DAO ve LayerZero Arasında $290 Milyonluk rsETH Köprü Hack'i Üzerinden Anlaşmazlık

Kelp DAO, LayerZero'nun $290 milyonluk rsETH köprü açığına ilişkin resmi açıklamasını reddediyor. Kelp DAO'ya göre, 116.500 rsETH'nin çalınmasına neden olan 'tek validatör' kurulumu, LayerZero'nun kendi yönergelerinde bir varsayılan yapılandırma idi. Likidite yeniden staking protokolü, CoinDesk'e, rsETH çapraz zincir rotasında kullanılan 1-of-1 Merkeziyetsiz Doğrulayıcı Ağı'nın (DVN) 'LayerZero'nun belgelenmiş varsayılanlarını izlediğini' ve saldırgan tarafından tehlikeye atılan doğrulayıcı yığının 'LayerZero'nun kendi altyapısının bir parçası' olduğunu belirtti.

18 Nisan'da gerçekleşen saldırı, bir saldırgan kontrolündeki adrese 116.500 rsETH (token arzının yaklaşık %18'i) basılmasına veya serbest bırakılmasına neden oldu ve o sırada yaklaşık 290-293 milyon dolar zarara yol açtı. Bu, 2026'nın şu ana kadarki en büyük DeFi açığı oldu.

LayerZero, soruşturma raporunda ve sonraki açıklamalarında, 'LayerZero'nun protokolünün bozulmadığını' savunarak, Kelp DAO'nun, toplam değeri 1 milyar dolardan fazla olan bir token için 'üretimde tek bir arıza noktası DVN' kullandığını iddia etti. Birlikte çalışabilirlik şirketi, 'tek bir arıza noktası yapılandırması çalıştırmanın, sahte bir mesajı yakalayacak ve reddedecek bağımsız bir doğrulayıcı olmadığı anlamına geldiğini' belirtti ve daha önce Kelp DAO ve diğer ortaklara 'DVN çeşitlendirmesiyle ilgili en iyi uygulamaları' ilettiğini iddia etti.

Güvenlik araştırmacıları ve denetçiler, rsETH köprü rotasının, 2/2 veya çoklu DVN yığını yerine, tek bir imza olan 1/1 DVN kullandığını doğruladı. Bu durum, sosyal mühendislik yoluyla desteklenmiş olabilecek bir 'tek imza tek nokta' zafiyeti olarak adlandırıldı. DeFiPrime'dan yapılan detaylı bir inceleme, LayerZero'nun OApp modelinin, uygulamaların bir mesaja kaç DVN'nin onay vermesi gerektiğini seçmesine izin verdiğini belirtiyor. Ancak Kelp'in adaptörünün, LayerZero Labs tarafından çalıştırılan tek bir doğrulayıcının onayını kabul edecek şekilde yapılandırıldığı belirtildi.

Kelp DAO ekibi, LayerZero'nun kendi halka açık kodunu ve varsayılan ayarlarını birden fazla ağda uyguladıklarını ve istismar edilen DVN'nin 'LayerZero'nun kendisi tarafından işletildiğini' belirterek, sorumluluğun en azından kısmen, uygulamanın kendisinden ziyade altyapı sağlayıcısında olduğunu ima etti.

LayerZero, 'tek validatör kurulumu kullanan tüm uygulamalar için mesajları imzalamayı durduracağını' ve tüm OApp'lerin protokolü kullanmaya devam etmek istiyorlarsa çoklu DVN mimarilerine geçmelerini gerektirecek bir 'güvenlik geçişi' uygulamayı taahhüt etti.

Sonuç olarak, bu olay sadece bir yeniden staking tokeninin ötesine geçiyor. Olay, köprü tasarımı, varsayılan yapılandırmalar ve modüler çapraz zincir altyapısı ters gittiğinde nihai sorumluluğu kimin taşıdığı konusunda daha geniş bir tartışmayı yeniden alevlendirdi.