Zincir üstü merkeziyetsiz kripto para borsası (DEX) toplayıcısı SwapNet, yaklaşık 16,8 milyon dolar değerinde kripto varlığın boşaltıldığı büyük bir akıllı kontrat saldırısına uğruyor.
Bu gelişme, merkeziyetsiz finans (DeFi) alanındaki token onayları ve üçüncü parti yönlendirme kontratlarıyla ilgili süregelen güvenlik risklerine dikkat çekiyor.
SponsoredSwapNet on-chain DEX aggregator’da 16,8 milyon Dolar’lık exploit
PeckShield, saldırganın 0x ekibi tarafından oluşturulan meta DEX toplayıcısı Matcha Meta aracılığıyla SwapNet bağlantılı işlemleri hedef aldığını raporluyor.
Base ağında, saldırgan yaklaşık 10,5 milyon dolarlık USDC’yi yaklaşık 3.655 ETH’ye çevirip varlıkları Ethereum’a köprüleyerek aktarıyor. Bu, takibi ve fonların geri alınmasını zorlaştırmak için sıkça başvurulan bir yöntem olarak biliniyor.
Matcha Meta, riskin kendi altyapısından kaynaklanmadığını belirtiyor. Etkilenen kullanıcıların, sürekli token izinlerini sınırlamak için geliştirilen 0x’in One-Time Approval sistemi dışına çıkanlar olduğunu aktarıyor.
Bu özelliği devre dışı bırakan kullanıcılar, SwapNet’in rotası dahil olmak üzere, arka plandaki toplayıcı kontratlara doğrudan onay veriyor. Sonuç olarak saldırıya açık hale geliyorlar.
‘0x’in One-Time Approval seçeneğini kapatan kullanıcıların Matcha Meta üzerinde SwapNet ile ilgili bir güvenlik olayı yaşadığının farkındayız’ diye aktardı Matcha Meta.
Platform, SwapNet ekibiyle koordineli şekilde çalışıldığını ve araştırmalar sürdükçe ilgili kontratların geçici olarak devre dışı bırakıldığını doğruluyor.
Sponsored SponsoredÖnlem olarak, Matcha Meta kullanıcılarını 0x’in One-Time Approval sistemi haricindeki toplayıcılara verilen izinleri acilen iptal etmeye çağırıyor.
Platform, özellikle SwapNet’in router kontratına (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) verilen iznin hızla kaldırılması gerektiğini vurguluyor. Aksi halde, saldırı bastırılsa bile cüzdanlar hala açıkta kalabilir.
DeFi’nin Güvenlik Tercihleri: Artan Akıllı Kontrat Saldırıları Arasında Kolaylık mı Güvenlik mi?
Bu olay, DeFi’de pratiklik ile güvenlik arasındaki sürekli denge arayışına yeni bir örnek sunuyor. One-Time Approval sistemi, kullanıcıların her işlem için ayrı onay vermesini gerektiriyor ve sürekli saldırı riskini azaltıyor. Ancak bu durum, sık işlem yapan trader’lar için kullanımda aksama yaratıyor.
SponsoredLimitsiz izinler ise işlemleri hızlandırsa da akıllı kontrat’lara kullanıcı fonlarına sürekli erişim sağlıyor. Fakat bu kontratlar ele geçirilirse ciddi riskler oluşuyor.
SwapNet henüz kapsamlı bir teknik analiz (post-mortem) yayımlamıyor ve etkilenen kullanıcılara tazminat ödenip ödenmeyeceğine dair bir açıklama yapmıyor. Sorumluluk ve zararların telafisi konusunda belirsizlik sürüyor.
Bu belirsizlik, DeFi ekosisteminde onay uygulamaları ve toplayıcı entegrasyonlarına yönelik incelemeleri ve tartışmaları artırabilir gibi görünüyor.
Ethereum’da Yeni Exploit: Doğrulanmamış ve Kapalı Kaynak Kontratların Riskleri
Saldırı, kripto para piyasasında artan akıllı kontrat istismarları ve güvenlik vakalarının yaşandığı döneme denk geliyor.
Sponsored SponsoredAynı gün, güvenlik denetçisi Pashov Ethereum ana ağında yaklaşık 37 WBTC (3,1 milyon dolardan fazla) ile ilgili ayrı bir istismarı gündeme getiriyor.
Bu olay, yalnızca 41 gün önce devreye alınan kapalı kaynaklı ve doğrulanmamış bir kontratla bağlantılı. Kontrat yalnızca insan tarafından okunamayan bytecode yayımladığı için kamuya açık bir incelemeye olanak vermiyor.
Tüm bu vakalar, DeFi dünyasında saldırganlar için elverişli ortamın hala bolca bulunduğuna işaret ediyor. Bunlar şunlar olarak öne çıkıyor:
- Doğrulanmamış kodlar
- Sürekli izinler ve
- Karmaşık yönlendirme katmanları.
Yıllardır yapılan denetimler ve güvenlik iyileştirmelerine rağmen DeFi halen yapısal açıklarla mücadele ediyor. Bu da hem geliştiricilerin hem kullanıcıların ‘işin kolayına kaçanın zararı çok olur’ sözüyle özetlenebilecek bir biçimde, kullanım kolaylığı ile risk yönetimi arasında hassas bir denge tutturmasını gerektiriyor.
