SwapNet, merkeziyetsiz bir borsa toplayıcısı olarak, kullanıcıların kritik bir güvenlik özelliğini devre dışı bırakması sonucu, saldırganların kalıcı token onayları verilmiş ele geçirilmiş bir router sözleşmesini istismar etmesiyle yaklaşık 16,8 milyon dolarlık kripto varlık kaybetti.
Ne Oldu: DEX Toplayıcı İstismarı
Güvenlik firması PeckShield, saldırının, 0x ekibi tarafından geliştirilen bir meta DEX toplayıcısı olan Matcha Meta üzerinden erişilebilen SwapNet bağlantılı faaliyetleri hedef aldığını bildirdi. Açık, 0x'in Tek Seferlik Onay sisteminden çıkan ve temel toplayıcı sözleşmelere doğrudan yetki veren kullanıcıları etkiledi.
Base ağında saldırgan, yaklaşık 10,5 milyon dolar değerindeki USDC (USDC) varlığını, yaklaşık 3.655 Ether (ETH) karşılığında takas etti ve ardından bu fonları Ethereum (ETH) ağına bridge etti.
Bu manevra, takip süreçlerini zorlaştırmak için sıkça kullanılan bir taktiktir.
Matcha Meta, yaptığı açıklamada şunları söyledi: “Tek Seferlik Onayları kapatan kullanıcıların Matcha Meta üzerinde maruz kalmış olabileceği SwapNet ile ilgili bir olayın farkındayız.” Platform, kullanıcıların onaylarını iptal etmesi gereken en acil adres olarak SwapNet'in router sözleşmesini (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) belirledi.
Ayrıca Oku: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Neden Önemli: Süregelen DeFi Zafiyetleri
Olay, merkeziyetsiz finansta kullanım kolaylığı ile güvenlik arasındaki temel gerilimi vurguluyor. Tek Seferlik Onaylar, her işlemin tek tek yetkilendirilmesini gerektirerek sürekli açık yüzeylerini azaltır; ancak sık işlem yapanlar için sürtünmeyi artırır. Sınırsız onaylar ise hız sağlar, fakat akıllı sözleşmelere kullanıcı fonlarına sürekli erişim izni verir.
SwapNet, teknik bir inceleme raporu yayımlamadı ve etkilenen kullanıcılara tazminat ödenip ödenmeyeceğine dair bir açıklama yapmadı.
Aynı gün, güvenlik denetçisi Pashov, yaklaşık 37 WBTC (WBTC) (3,1 milyon dolardan fazla) içeren, 41 gün önce dağıtılmış kapalı kaynaklı, doğrulanmamış bir sözleşmeyle bağlantılı ayrı bir Ethereum ana ağ istismarını tespit etti.
Yaklaşık bir ay önce DeFi topluluğu, Trust Wallet saldırısıyla sarsılmıştı.
Trust Wallet, yaklaşık 7 milyon dolarlık kriptonun çalındığını doğruladı; saldırı, kötü amaçlı bir tarayıcı eklentisi güncellemesi üzerinden gerçekleşti. İhlal yalnızca 24 Aralık’ta yayımlanan Chrome eklentisinin 2.68 sürümünü etkiledi. Neyse ki mobil cüzdan kullanıcıları etkilenmedi. Changpeng Zhao, Trust Wallet’ın sahibi olan Binance’in kurucusu olarak, cüzdanın etkilenen tüm kullanıcılara tazminat ödeyeceğini söyledi.
Sıradaki Yazı: Why Are Whales Buying Seeker While Smart Money Sells?