İki Kripto Para Platformu Hacklendi: Milyonlar Kaybetti!

42 okunma — 01 Nisan 2024 07:24

uzmanblog

Merkezi olmayan bir borsa ve para piyasası protokolü olan Dolomite kripto para borsası, yakın vakitte bir güvenlik ihlali yaşadı ve yaklaşık 1,8 milyon dolar kayba uğradı. Blockchain güvenlik firması CertiK’in raporuna nazaran bir saldırgan, 2019’da Ethereum blockchain üzerinde konuşlandırılan eski bir Dolomite kontratındaki bir güvenlik açığından yararlandı. Bu sırada AirDAO’nun açıklamasına nazaran hackerlar, AMB/ETH havuzundan yüklü ölçüde coin çaldı.

Dolomite, eski akıllı mukavelesinde hack yaşadı

Dolomite, 2022’de birincil operasyonlarını Arbitrum ağına geçirdi ve Ethereum sürümü takviyesini kademeli olarak kaldırdı. Fakat akıllı kontratların değişmez tabiatı nedeniyle Ethereum sürümü, geliştirici araçları aracılığıyla kullanıcılar tarafından erişilebilir olmaya devam etti. Saldırgan, eski mukaveledeki “callFunction” ismi verilen makul bir fonksiyonu gaye aldı. Bu fonksiyon, kullanıcıların mukavele kapsamında çeşitli komutları yürütmesine imkan tanır. Yetkisiz erişimi önlemek için muhafazalar mevcut olsa da kritik bir kusur mevcuttu.

#CertiKSkynetAlert 🚨

It appears that an old contract belonging to Dolomite Exchange have been exploited

In total, ~$1.8m has been stolen

Revoke approvals to 0xE2466deB9536A69BF8131Ecd0c267EE41dd1cdA0 pic.twitter.com/8tLuhKqDXn

— CertiK Alert (@CertiKAlert) March 20, 2024

“CallFunction” özelliği, “yeniden giriş koruması” olarak bilinen çok kıymetli bir güvenlik tedbirinden yoksundu. Bu müdafaa ekseriyetle saldırganların kodu manipüle etmesini ve kullanıcı fonlarını tüketmesini önler. Saldırgan, “callFunction” ile etkileşime giren “TradeManager” isimli ikincil bir kontrat tespit etti. Bilhassa, “TradeManager” içindeki “çağrı” fonksiyonu yine giriş muhafazasından yoksundu ve bu da istismar edilebilir bir boşluk yarattı. Saldırgan, bu güvenlik açığını manipüle ederek “callFunction” aracılığıyla yetkisiz aramalar gerçekleştirebildi ve sonuçta kullanıcı hesaplarındaki fonlar boşaltıldı.

AirDAO’dan hack açıklaması

Diğer yandan AirDAO, AMB/ETH Uniswap havuzundan 35,2 milyon AMB token ve 125,51 ETH’lik büyük bir hırsızlık gerçekleştiğini duyurdu. Grup, faili yakalamak ve çalınan varlıkları geri almak için borsalar ve ilgili makamlarla işbirliği yapıyor. Hackerın kimliği hala bilinmiyor, lakin AirDAO, fonları derhal iade edenlere %10’luk bir “beyaz şapka” mükafatı teklif ediyor. Aksi takdirde, grup kolluk kuvvetlerine başvuracak.

Kripto para alanında istismarlar yaygın

Dolomit yahut AMB havuzu istismarı maalesef münferit bir olay değil. Mart 2024’te bir dizi DeFi ihlali yaşandı. Unizen ve Mozaic Finance üzere protokoller de hücumların kurbanı oldu. Bu olaylar, DeFi alanındaki siber tehditlerin gelişen tabiatının ve hem geliştiricilerin hem de kullanıcıların daima dikkatli olmaları gerektiğinin altını çiziyor.

Dolomite grubu şu anda istismarın akabinde yaşananları ele almak için çalışıyor. Öncelikli odak noktası daha fazla kaybın önlenmesi olsa da olay, DeFi’de sağlam güvenlik tedbirlerinin kıymetinin açık bir hatırlatıcısı olarak hizmet ediyor. DeFi ekosistemi gelişmeye devam ettikçe geliştiricilerin güvenlik kontrollerine öncelik vermesi ve kullanıcı fonlarını korumak ve kripto topluluğu içinde itimat oluşturmak için en yeterli uygulamaları uygulaması gerekiyor.