Hacker, Ethereum likidite sağlayıcısı TrustedVolumes’tan 5,9 milyon dolar çaldı. Saldırıda 1inch detayı ortalığı karıştırdı.
Ethereum ekosisteminde faaliyet gösteren likidite sağlayıcısı TrustedVolumes, Perşembe günü gerçekleşen sofistike bir saldırıda yaklaşık 5.9 milyon dolarlık varlığını kaybetti. İlk etapta olayın 1inch protokolünü hedef aldığı öne sürülse de, platformdan yapılan resmi açıklamada sistemlerinin hacklenmediği ve kullanıcı fonlarının güvende olduğu vurgulandı.
Blockchain güvenlik şirketi Blockaid tarafından paylaşılan verilere göre saldırganın ele geçirdiği varlıklar arasında 1.291 WETH, yaklaşık 16.9 WBTC, 206 bin USDT ve 1.27 milyon USDC yer aldı. Toplam zararın yaklaşık 5.9 milyon dolar seviyesinde olduğu belirtiliyor.
Saldırı nasıl gerçekleşti?
Olayın merkezinde TrustedVolumes’un kullandığı özel emir eşleştirme sistemi bulunuyor. Saldırgan, platformun RFQ proxy adı verilen özel işlem altyapısındaki kritik bir tasarım açığını hedef aldı. Güvenlik firması GoPlus Security tarafından paylaşılan teknik analizde, hacker’ın herkese açık durumda bulunan registerAllowedOrderSigner() fonksiyonunu kötüye kullandığı aktarıldı.
Normal şartlarda kullanıcıların kendi işlemleri için yetkili imzacı tanımlamasına izin veren bu sistem, başka bir güvenlik açığıyla birleşince büyük bir probleme dönüştü. İşlem doğrulama mekanizması bir adresi kontrol ederken, fon transferi farklı bir cüzdandan gerçekleştirildi.
Kripto güvenlik araştırmacısı Defi Nerd tarafından yayımlanan teknik rapora göre saldırgan, bu açığı kullanarak TrustedVolumes resolver kontratından dört ayrı işlemle fon çekmeyi başardı.
İddiaya göre saldırgan her işlemde yalnızca sembolik düzeyde 1 ham USDC gönderirken, karşılığında yüksek miktarda varlığı kendi cüzdanına aktardı. Çalınan WETH’ler daha sonra ETH’ye çevrilerek farklı adreslere taşındı.
TrustedVolumes hacker’a çağrıda bulundu
Saldırının ardından TrustedVolumes, çalınan fonların bulunduğu düşünülen üç farklı cüzdan adresini kamuoyuyla paylaştı. Platform ayrıca hacker’a seslenerek bug bounty yani ödüllü güvenlik anlaşması kapsamında iletişime geçilmesini istedi.
Bu yaklaşım, son dönemde DeFi projelerinin sıkça başvurduğu “white hat uzlaşısı” yöntemlerinden biri olarak dikkat çekiyor.
1inch’ten net açıklama geldi
TrustedVolumes’un 1inch üzerinde likidite sağlayıcısı olarak faaliyet göstermesi nedeniyle ilk haberlerde saldırının doğrudan 1inch’i hedef aldığı iddia edildi.
Ancak hem 1inch hem de Blockaid tarafından yapılan açıklamalarda bu iddialar yalanlandı. Açıklamada, saldırının yalnızca TrustedVolumes’un kendi altyapısını hedef aldığı ve 1inch kullanıcılarının fonlarının etkilenmediği ifade edildi.
DeFi ekosisteminde kara dönem
Son saldırıyla birlikte merkeziyetsiz finans (DeFi) ekosistemindeki güvenlik tartışmaları yeniden gündeme taşındı. Özellikle Nisan ayında yaşanan büyük saldırılar sektör açısından ciddi bir alarm oluşturmuştu.
Öne çıkan vakalar arasında KelpDAO (292 milyon dolar kayıp) ve Drift Protocol (285.2 milyon dolar kayıp) yer aldı.
TrustedVolumes saldırısı finansal büyüklük açısından daha küçük görünse de, kullanılan yöntemin teknik karmaşıklığı uzmanları endişelendiriyor. Yardımcı kontratlar, imzacı yetkilendirme manipülasyonu ve fon kaynağı doğrulama açığının tek işlem içinde zincirleme şekilde kullanılması, saldırının sıradan bir yazılım hatasından çok daha gelişmiş olduğunu ortaya koyuyor.
