Bir saldırgan, 14 Haziran’da Aztec Connect’ten 2,1 milyon dolardan fazla varlığı, üç yıl önce kapatılan gizlilik protokolündeki bir doğrulama açığını kullanarak boşalttı.
Öne Çıkan Noktalar:
- Bir saldırgan, protokol emekliye ayrıldıktan üç yıl sonra, 14 Haziran’da Aztec Connect’ten yaklaşık 2,19 milyon dolar çekti.
- Açık, sözleşmenin kanıt doğrulamasındaki bir boşluktan yararlanarak, mevduatla desteklenmeyen bakiyelerden çekim yapılmasına izin verdi.
- Aztec Labs, hiçbir yönetici anahtarına sahip olmadığını ve değiştirilemez sözleşmeleri durduramayacağını veya yükseltemeyeceğini söyledi.
CertiK, Aztec Connect Boşaltılmasını Tespit Etti
CertiK, saldırıdan sonraki birkaç saat içinde şüpheli faaliyeti yakaladı. Ethereum’daki, kullanım dışı köprünün çekirdek bileşeni olan RollupProcessorV3 sözleşmesinden bir boşaltmayı işaretledi. Güvenlik firması BlockSec de kısa süre sonra aynı ihlali doğruladı ve ilk olarak koddaki eksik erişim kontrolünden şüphelendi.
Zayıflık, sözleşmenin kanıt verilerini nasıl kontrol ettiğinde yatıyordu; bir yol, işlem setinin tamamını doğrularken, mutabakat mantığı aynı veriyi farklı şekilde okuyordu. Bu uyumsuzluk, saldırganın arkasında hiçbir değer olmadan kredi yazmasına, yani hiçbir mevduatın gerçekten desteklemediği bakiyeler üretmesine imkân tanıdı.
Saldırgan, bu numarayı tek bir hamlede yedi varlık üzerinde çalıştırdı. Vurgun; 909 Ether (ETH), yaklaşık 270.000 Dai (DAI), 167 sarılmış stake edilmiş Ether ve birkaç getiri sağlayan token içeriyordu. Zincir üzerindeki kayıtlar, fonları, daha önce bir karıştırma servisi üzerinden finanse edilen taze bir cüzdana kadar izledi; bu da hamlenin uzun süre önceden planlandığına işaret ediyor.
Ayrıca Oku: Bitcoin Bulls Eye $67K After Trump Says Hormuz Will Open To All
Aztec Labs’in Yönetici Anahtarı Yok
Aztec Foundation, alarmın verilmesinden kısa süre sonra olayı doğruladı ve bu ihlalin AZTEC (AZTEC) tokenını ve canlı Aztec ağını etkilemediğini özellikle vurguladı. Token neredeyse hiç tepki vermedi ve gün boyunca yaklaşık bir cent civarında işlem görmeye devam etti; 2022’de ilk kez başlatılan ve Mart 2023’ten beri atıl durumda olan emekli köprü ise etkilenmedi.
Aztec Labs, müdahale edemeyeceğini söyledi. Kullanım dışı sözleşmeler hiçbir yönetici anahtarı barındırmıyor; bu nedenle kimse onları durduramıyor veya yükseltemiyor ve geliştirici Param, köprü kapatıldıktan sonra kodun tamamen değiştirilemez hale geldiğini açıkladı. Soruşturmacılar hâlâ çalınan fonları ağ genelinde takip ediyor.
Terk Edilmiş DeFi Sözleşmeleri Hâlâ Riskli
Bu olay, sektörün tekrar tekrar deneyimlediği bir sorunun altını çiziyor; zira ölü protokoller, ekipleri çoktan yoluna devam ettikten sonra bile gerçek para tutmaya devam ediyor. Değiştirilemez kodda bir zayıflık ortaya çıktıktan sonra yamalama yapılamıyor; bu da artık yaygın şekilde zombi sözleşmeler diye anılan bu terk edilmiş sistemleri yıllarca saldırılara açık bırakıyor.
Bu boşaltma, zincir üstü güvenlik için zorlu bir dönemi taçlandırıyor. Bu ayki saldırılar, son haftalarda birkaç küçük protokolün de hedef alınmasıyla, en az bir düzine olayda yaklaşık 44 milyon dolara mal oldu. Bu toplamın öncesinde ise, yalnızca iki saldırının aylık kayıpları 625 milyon doların üzerine çıkardığı ve olay sayısında rekor kırdığı zorlu bir Nisan ayı vardı.
Sırada Oku: Index Rules Turn SpaceX's $2T Debut Into A Market Stress Test