Merkezi olmayan bir borsa ve para piyasası protokolü olan Dolomite kripto para borsası, yakın vakitte bir güvenlik ihlali yaşadı ve yaklaşık 1,8 milyon dolar kayba uğradı. Blockchain güvenlik firması CertiK’in raporuna nazaran bir saldırgan, 2019’da Ethereum blockchain üzerinde konuşlandırılan eski bir Dolomite mukavelesindeki bir güvenlik açığından yararlandı. Bu sırada AirDAO’nun açıklamasına nazaran hackerlar, AMB/ETH havuzundan yüklü ölçüde coin çaldı.
Dolomite, eski akıllı mukavelesinde hack yaşadı
Dolomite, 2022’de birincil operasyonlarını Arbitrum ağına geçirdi ve Ethereum sürümü dayanağını kademeli olarak kaldırdı. Lakin akıllı kontratların değişmez tabiatı nedeniyle Ethereum sürümü, geliştirici araçları aracılığıyla kullanıcılar tarafından erişilebilir olmaya devam etti. Saldırgan, eski mukaveledeki “callFunction” ismi verilen belli bir fonksiyonu gaye aldı. Bu fonksiyon, kullanıcıların kontrat kapsamında çeşitli komutları yürütmesine imkan tanır. Yetkisiz erişimi önlemek için müdafaalar mevcut olsa da kritik bir kusur mevcuttu.
It appears that an old contract belonging to Dolomite Exchange have been exploited
In total, ~$1.8m has been stolen
Revoke approvals to 0xE2466deB9536A69BF8131Ecd0c267EE41dd1cdA0 pic.twitter.com/8tLuhKqDXn
— CertiK Alert (@CertiKAlert) March 20, 2024
“CallFunction” özelliği, “yeniden giriş koruması” olarak bilinen çok kıymetli bir güvenlik tedbirinden yoksundu. Bu müdafaa ekseriyetle saldırganların kodu manipüle etmesini ve kullanıcı fonlarını tüketmesini önler. Saldırgan, “callFunction” ile etkileşime giren “TradeManager” isimli ikincil bir mukavele tespit etti. Bilhassa, “TradeManager” içindeki “çağrı” fonksiyonu tekrar giriş muhafazasından yoksundu ve bu da istismar edilebilir bir boşluk yarattı. Saldırgan, bu güvenlik açığını manipüle ederek “callFunction” aracılığıyla yetkisiz aramalar gerçekleştirebildi ve sonuçta kullanıcı hesaplarındaki fonlar boşaltıldı.
AirDAO’dan hack açıklaması
Diğer yandan AirDAO, AMB/ETH Uniswap havuzundan 35,2 milyon AMB token ve 125,51 ETH’lik büyük bir hırsızlık gerçekleştiğini duyurdu. Grup, faili yakalamak ve çalınan varlıkları geri almak için borsalar ve ilgili makamlarla işbirliği yapıyor. Hackerın kimliği hala bilinmiyor, fakat AirDAO, fonları derhal iade edenlere %10’luk bir “beyaz şapka” mükafatı teklif ediyor. Aksi takdirde, takım kolluk kuvvetlerine başvuracak.
Kripto para alanında istismarlar yaygın
Dolomit yahut AMB havuzu istismarı maalesef münferit bir olay değil. Mart 2024’te bir dizi DeFi ihlali yaşandı. Unizen ve Mozaic Finance üzere protokoller de hücumların kurbanı oldu. Bu olaylar, DeFi alanındaki siber tehditlerin gelişen tabiatının ve hem geliştiricilerin hem de kullanıcıların daima dikkatli olmaları gerektiğinin altını çiziyor.
Dolomite grubu şu anda istismarın akabinde yaşananları ele almak için çalışıyor. Öncelikli odak noktası daha fazla kaybın önlenmesi olsa da olay, DeFi’de sağlam güvenlik tedbirlerinin değerinin açık bir hatırlatıcısı olarak hizmet ediyor. DeFi ekosistemi gelişmeye devam ettikçe geliştiricilerin güvenlik kontrollerine öncelik vermesi ve kullanıcı fonlarını korumak ve kripto topluluğu içinde itimat oluşturmak için en âlâ uygulamaları uygulaması gerekiyor.
