Önemli Çıkarımlar
Blockchain güvenlik firması PeckShield'e göre, merkeziyetsiz finans (DeFi) protokolü Trusted Volumes, bir saldırganın akıllı sözleşmesindeki kritik bir kusurdan yararlanmasının ardından yaklaşık 5,9 milyon dolar değerinde dijital varlık kaybetti.
PeckShield sözcüsü olay sonrası raporunda, "Analizimiz, saldırının protokolün fillOrder fonksiyonundaki mantıksal bir hatadan kaynaklandığını ve saldırganın imza doğrulamasını baypas etmesine olanak tanıdığını gösteriyor" dedi. Blockchain güvenlik firması SlowMist de saldırının ayrıntılarını doğruladı.
1inch ağı için likidite sağlayıcısından çekilen toplam değer; 1.291 ETH (3,02 milyon dolar), 16,94 WBTC (1,37 milyon dolar), 1,26 milyon USDC ve 206.000 USDT'yi içeriyordu. Zincir üstü veriler, saldırganın parayı hemen aklamaya başladığını, stabil kripto paraları ve WBTC'yi merkeziyetsiz bir borsa aracılığıyla 2.513 ETH'ye dönüştürdüğünü gösteriyor.
Olay, fonları hareket ettirmek için geniş kullanıcı izinleri gerektiren Teklif Talebi (RFQ) DeFi protokollerindeki yapısal güvenlik risklerini vurguluyor. Miktar sistemsel bir tehdit oluşturmasa da, kullanıcı güvenini sarsıyor ve daha küçük, daha az denetlenmiş DeFi projelerini çevreleyen yüksek risk algısını güçlendiriyor.
Trusted Volumes, eşler arası ticareti kolaylaştıran bir RFQ sistemi kullanarak merkeziyetsiz bir Tezgah Üstü (OTC) masası olarak faaliyet gösteriyor. Bu modelde, bir "alıcı" (taker) fiyat teklifi ister ve bir "piyasa yapıcı" (maker) bunu sağlar. Her iki taraf da emri imzalar ve emir bir akıllı sözleşme tarafından sonuçlandırılır. Tüm bu sistemin güvenliği, kusursuz kriptografik imza doğrulamasına bağlıdır.
Saldırgan, fillOrder fonksiyonunun imza doğrulama mantığında bir güvenlik açığı buldu. Bu durum, yetkisiz olarak ticaret emirlerini taklit etmelerine olanak tanıyarak, kullanıcıların protokolün yönetmesi için onay verdiği fonları fiilen boşaltmalarını sağladı. Trusted Volumes'u likidite sağlayıcısı olarak kullanan merkeziyetsiz borsa 1inch, kendi sistemlerinin ihlalden etkilenmediğini doğruladı.
Bu saldırı, DeFi alanındaki sürekli tehditlerin sert bir hatırlatıcısıdır. Saldırganlar daha sofistike hale geldikçe, kullanıcı fonlarını yöneten protokoller için titiz kod denetimleri ve güvenlik en iyi uygulamaları her zamankinden daha kritik hale geliyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
