Ethereum staking protokolü Lido, oracle sisteminde yaşanan bir güvenlik ihlali sonrası hızlıca harekete geçti. Validator operatörlerinden Chorus One’a ait bir oracle anahtarının yetkisiz erişimle ele geçirildiğinin tespit edilmesi üzerine, Lido DAO acil oylamaya gitti ve anahtar, güncellenmiş güvenlik protokolleriyle değiştirildi.
Olay, 10 Mayıs’ta bir katılımcının sıcak cüzdan bakiyesindeki olağan dışı düşüşü fark etmesiyle ortaya çıktı. Yapılan kontroller sonucunda söz konusu anahtara izinsiz bir erişim olduğu belirlendi. Lido ve Chorus One ekipleri, durumu sınırlamak için hemen koordineli bir şekilde çalıştı.
Chorus One tarafından 2021’de oluşturulan bu cüzdan yalnızca oracle raporlarını imzalamak için kullanılıyordu ve diğer altyapılara kıyasla daha az sıkı güvenlik önlemleriyle korunuyordu. Mevzu bahis cüzdandan yalnızca 1.46 ETH (yaklaşık 3.675 dolar) çalındı ancak protokolün genel güvenliği ve işleyişi etkilenmedi.
Lido’nun oracle sistemi, 9 katılımcıdan en az 5’inin onayını gerektiren bir quorum yapısıyla çalışıyor. Bu nedenle tek bir operatörün sistemin bütünlüğünü tehlikeye atması mümkün değil. Yapılan kontrollerde diğer oracle adreslerinin ve altyapı yazılımlarının sağlam olduğu doğrulandı.
Chorus One: “Yeni güvenlik standartlarımız devrede”
Chorus One, olay sonrası açıklama yaparak söz konusu cüzdanın yalnızca düşük bakiyeli bir oracle adresi olduğunu, hiçbir müşteri fonunun risk altında olmadığını belirtti. Firma, günümüzde HashiCorp Vault üzerinden anahtar yönetimi yaptıklarını ve rol tabanlı erişim kontrolleriyle güvenliği sağladıklarını vurguladı.
Lido ekibi ise olayla ilgili kapsamlı bir raporun devam eden incelemelerin ardından yayımlanacağını duyurdu. Aynı zamanda oracle sistemine dair genel bir güvenlik gözden geçirme süreci de başlatıldı.
