Önemli Çıkarımlar:
Merkeziyetsiz bir borsa olan Ekubo Protocol, Ethereum ve Arbitrum ağlarındaki swap yönlendirici sözleşmelerini hedef alan bir saldırı sonucunda yaklaşık 1,4 milyon dolar değerinde Wrapped Bitcoin (WBTC) kaybetti. Güvenlik açığı, bir saldırganın daha önce sözleşmelere onay vermiş olan kullanıcılardan fon çekmesine olanak tanıyan eksik bir doğrulama kontrolünden kaynaklandı.
Saldırı ilk olarak güvenlik firması Blockaid tarafından rapor edildi ve daha sonra Ekubo ekibi tarafından onaylandı. Resmi bir duyuruda, "Ekubo Protocol suistimali, koddaki basit ama maliyetli bir hata nedeniyle gerçekleşti" denildi. Temel sorun, IPayer.pay geri çağırma fonksiyonundaki "eksik ödeme yapan doğrulaması" idi; bu fonksiyon parametrelerin kaynağını doğrulamada başarısız oldu ve saldırganın kullanıcılar adına token transfer etmesine olanak sağladı.
Veriler, saldırının 85 işlemde yaklaşık 17 WBTC'nin çalınmasıyla sonuçlandığını gösteriyor. Temel olarak Starknet üzerinde faaliyet gösteren ana Ekubo protokolü güvenliğini koruyor. Güvenlik açığı, EVM uyumlu zincirlerdeki belirli V2 ve V3 yönlendirici sözleşmeleriyle sınırlı kaldı ve yalnızca bu adreslere sınırsız token onayı vermiş olan kullanıcıları etkiledi. Likidite sağlayıcılar ve Starknet yerel protokolünün kullanıcıları etkilenmedi.
Bu olay, Ethereum üzerindeki DeFi alanında token onaylarıyla ilişkili kalıcı riskleri vurguluyor. Kolaylık sağlamasına rağmen, akıllı sözleşmelere sınırsız izinler vermek, bir güvenlik açığı keşfedildiğinde kullanıcıları önemli kayıplara maruz bırakabilir. Ekubo ekibi bir olay sonrası raporu hazırlıyor ve kullanıcıları olası iade dolandırıcılıklarına karşı uyararak güncellemeler için resmi kanalları takip etmelerini tavsiye ediyor.
Ekubo ekibi, Ethereum veya Arbitrum üzerinde etkilenen yönlendirici sözleşmeleriyle etkileşime giren tüm kullanıcıları aktif izinleri derhal iptal etmeye çağırıyor. Bu işlem, revoke.cash gibi güvenilir üçüncü taraf araçlar kullanılarak yapılabilir.
Şu belirli sözleşme adresleri için onayları iptal edin:
Ethereum:
0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum:
0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.
