Dev Protokolde Güvenlik İhlali: Milyonlarca Dolarlık Kripto Para Çaldılar!

Merkeziyetsiz kripto para ve likidite protokolü Onyx, geçtiğimiz günlerde büyük bir güvenlik ihlali yaşadı. Blockchain güvenlik firması PeckShield’in raporuna nazaran, bu hücum sonucu 3.8 milyon dolarlık kripto varlık platformdan çalındı. Onyx Protokolü’nün bu akından nasıl etkilendiği ve hangi zafiyetlerin bu ihlale yol açtığı, kripto topluluğu tarafından merak ediliyor.

Kripto para protokolünde saldırı

PeckShield, saldırganların platformdan kıymetli ölçüde kripto varlık çaldığını doğruladı. Çalınan varlıklar ortasında 7.35 milyon Onyx Protokolü’nün yarar tokenı olan Onyxcoin (XCN), 50,000 Tether (USDT), 4.1 milyon Virtual USD (VUSD), 5,000 DAI ve 0.23 Wrapped Bitcoin (WBTC) bulunuyor. Saldırganlar, bu varlıkları daha sonra Ethereum’a (ETH) dönüştürdü. PeckShield, çalınan varlıkların izini sürmeye devam ediyor ve şu ana kadar 3.8 milyon dolarlık fonun Ethereum cüzdanlarına taşındığını belirtti.

Saldırının akabinde PeckShield, bu güvenlik ihlaline neyin sebep olduğunu da araştırdı. Birinci bulgular, Onyx Protokolü’nün Compound V2 tabanlı bir koda sahip olmasından kaynaklanan bir “hassasiyet hatası” olduğunu gösteriyor. Saldırganlar bu yanılgıyı kullanarak boş bir piyasayı manipüle etti ve değişim oranlarını kendi lehlerine çevirdiler.

NFT Liquidation kontratındaki zafiyet

PeckShield ayrıyeten saldırganların yalnızca Compound V2 kusurundan değil, tıpkı vakitte Onyx’in NFTLiquidation kontratında yer alan bir diğer zafiyetten de faydalandığını tespit etti. Bu zafiyet, doğrulanmamış kullanıcı girdilerinin kontrat tarafından gerçek bir formda işlenmemesiyle ilgiliydi. Saldırganlar, bu açığı kullanarak kendi kendine likidasyon ödül ölçüsünü şişirdi ve böylelikle daha fazla varlık çalmayı başardılar. Onyx Protokolü tarafından yapılan resmi açıklamada da bu zafiyetin asıl sorun kaynağı olduğu doğrulandı.

Onyx yetkilileri, bu hücumun bilhassa NFT Liquidation kontratında ortaya çıkan bir güvenlik açığından kaynaklandığını ve bu açığın platformun VUSD varlıklarının boşaltılmasına neden olduğunu belirtti. Şu anda, Onyx takımı bu sorunu çözmek için etkin bir soruşturma yürütüyor ve kullanıcı fonlarının güvenliğini sağlamak için çeşitli adımlar atıyor.

Onyx için ikinci büyük saldırı

Bu son taarruz, Onyx Protokolü’nün Kasım 2023’te yaşadığı öteki bir güvenlik ihlalinin akabinde gerçekleşti. O tarihte de misal bir atakla karşı karşıya kalan Onyx, o devirde kullanıcılarına süratli tahliller sunmuştu. Lakin bu son olay, platformun güvenlik altyapısında hala önemli eksiklikler olduğunu gözler önüne serdi. Hacken isimli güvenlik firması tarafından yapılan bir incelemeye nazaran, hücum sırasında Onyx’in mahallî stablecoin’i olan VUSD’nin bedeli, likidite çiftlerindeki düşük hacimden faydalanılarak manipüle edildi ve 1 dolarlık sabit bedelinden 0.39 dolara düştü.

Saldırıyla ilgili bir başka spekülasyon ise akının içeriden bir tehditle irtibatlı olabileceği istikametinde. Uzmanlar, bu tıp akınların yalnızca teknik açıklarla değil, tıpkı vakitte içeriden bilgiye sahip şahıslar tarafından da gerçekleştirilebileceğini belirtiyor. Hatta kimileri, akının Kuzey Koreli hacker kümeleriyle irtibatlı olabileceğini düşünüyor. Geçmişte de kripto dalında bu cins içeriden ataklar yaşanmıştı ve bu olaylar projelerin güvenilirliğini önemli biçimde sarsmıştı.