SwapNet, merkeziyetsiz bir borsa toplayıcısı olarak, kullanıcıların önemli bir güvenlik özelliğini devre dışı bıraktığı ve kalıcı token onayları verdiği ele geçirilmiş bir yönlendirici sözleşmesinden saldırganların yararlanması sonucu yaklaşık 13,43 milyon dolar değerinde kripto para varlığını kaybetti.
Ne Oldu: DEX Toplayıcı Açığı
Güvenlik firması PeckShield, saldırıyı bildirdi ve bunun, 0x ekibi tarafından geliştirilen bir meta DEX toplayıcısı olan Matcha Meta üzerinden erişilebilen SwapNet bağlantılı faaliyetleri hedef aldığını belirtti. Açık, 0x'in Tek Seferlik Onay sisteminden vazgeçen ve temel toplayıcı sözleşmelere doğrudan izin veren kullanıcıları etkiledi.
Base ağında saldırgan, yaklaşık 10,5 milyon dolar değerindeki USDC (USDC) varlığını yaklaşık 3.655 Ether (ETH) ile takas ettikten sonra fonları Ethereum (ETH) ağına köprüledi.
Bu manevra, izleme çalışmalarını zorlaştırmak için yaygın olarak kullanılan bir taktiktir.
“Tek Seferlik Onayları kapatan kullanıcıların Matcha Meta üzerinde maruz kalmış olabileceği SwapNet ile ilgili bir olayın farkındayız,” açıklamasında bulundu Matcha Meta. Platform, kullanıcıların onaylarını iptal etmesi gereken en acil adres olarak SwapNet’in yönlendirici sözleşmesini (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) belirledi.
Ayrıca Oku: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Neden Önemli: Kalıcı DeFi Açıkları
Bu olay, merkeziyetsiz finansta kullanım kolaylığı ile güvenlik arasındaki temel gerilimi vurguluyor. Tek Seferlik Onaylar, her işlemin tek tek onaylanmasını gerektirerek kalıcı saldırı yüzeylerini azaltır, ancak sık alım satım yapanlar için ek sürtünme yaratır. Sınırsız onaylar ise hız sağlarken akıllı sözleşmelere kullanıcı fonlarına sürekli erişim izni vermiş olur.
SwapNet henüz teknik bir olay sonrası raporu yayımlamadı ve etkilenen kullanıcılara tazminat ödenip ödenmeyeceğine dair bir açıklama yapmadı.
Aynı gün, güvenlik denetçisi Pashov, yaklaşık 37 WBTC (WBTC) (3,1 milyon dolardan fazla değerde) içeren, 41 gün önce dağıtılmış kapalı kaynaklı, doğrulanmamış bir sözleşmeyle bağlantılı ayrı bir Ethereum ana ağ açığını tespit etti.
Yaklaşık bir ay önce DeFi topluluğu, Trust Wallet saldırısıyla sarsılmıştı.
Trust Wallet, yaklaşık 7 milyon dolar değerinde kripto paranın çalındığını doğruladı ve bunun ele geçirilmiş bir tarayıcı eklentisi güncellemesi üzerinden gerçekleştiğini açıkladı. İhlal yalnızca 24 Aralık’ta yayımlanan Chrome eklentisinin 2.68 sürümünü etkiledi. Neyse ki, mobil cüzdan kullanıcıları etkilenmedi. Changpeng Zhao, Trust Wallet’ın sahibi olan Binance’in kurucusu olarak, cüzdanın tüm mağdur kullanıcıları tazmin edeceğini söyledi.
Kullanıcı kayıplarıyla ilgili rakamlardaki düzeltmeleri yansıtmak için 27 Ocak’ta, Matcha tarafından yayımlanan yeni verilere dayanarak güncellendi.
Sıradaki Haber: Why Are Whales Buying Seeker While Smart Money Sells?