Bu Kripto Para Platformu Hacklendi: İşte Bilançosu!
Seher Alp
3 min read
Bir kripto para platformu olan Dexible, ağındaki bir güvenlik açığından etkilendi. Bunun sonucuna 2 milyon dolarlık kayıp ortaya çıktı. İşte detaylar…
Kripto para platformuna hack saldırısı
Ekip tarafından projenin resmi Discord sunucusunda yayınlanan 17 Şubat tarihli bir otopsi raporuna göre, çok zincirli borsa toplayıcı Dexible bir açıktan etkilendi ve sonuç olarak 2 milyon dolarlık kripto para birimi kayboldu. Gece saatleri itibariyle, Dexible kullanıcı arabirimi, kullanıcılar platforma her gittiğinde saldırı hakkında bir açılır pencere uyarısı gösteriyor. Ekip sabah saatlerinde Dexible v2 sözleşmelerinde potansiyel bir hack keşfettiğini ve sorunu araştırdığını açıkladı. Ardından, 17 traderın adresinden 2.047.635,17 dolar kullanıldığını belirttiler.
Otopsi raporu dün akşam saatlerinde bir PDF dosyası olarak Discord’da yayınlandı ve ekip “aktif olarak bir iyileştirme planı üzerinde çalıştığını” söyledi. Raporda ekip, kurucularından birinin o sırada bilinmeyen nedenlerle cüzdanından 50.000 dolar değerinde kripto para çıkardığında bir şeylerin ters gittiğini fark ettiğini belirtiyor. Araştırmanın ardından ekip, bir saldırganın uygulamanın selfSwap işlevini kullanarak daha önce uygulamaya tokenlerini taşıma yetkisi vermiş kullanıcılardan 2 milyon doların üzerinde kripto para taşıdığını tespit etti.
Hacker, fonları BNB’ye dönüştürdü
SelfSwap işlevi, kullanıcıların bir yönlendiricinin adresini ve bununla ilişkili çağrı verilerini sağlayarak bir tokenı diğeriyle değiştirmesine izin verdi. Ancak, koda yazılmış önceden onaylanmış yönlendiricilerin listesi yoktu. Saldırgan, Dexible’dan her bir token sözleşmesine bir işlemi yönlendirmek için bu işlevi kullandı ve kullanıcıların tokenlarını, cüzdanlarından saldırganın kendi akıllı sözleşmesine taşıdı. Bu kötü niyetli işlemler, kullanıcıların zaten tokenlerini harcamak için yetkilendirdiği Dexible’dan geldiği için, token sözleşmeleri işlemleri engellemedi.
Saldırgan, tokenları kendi akıllı sözleşmesine aldıktan sonra, tokenları Tornado Cash aracılığıyla bilinmeyen bir cüzdana aktararak BNB’ye dönüştürdü. Dexible, sözleşmelerini duraklattı ve kullanıcıları onlar için token yetkilendirmelerini iptal etmeye çağırdı. Büyük miktarlar için token onaylarına izin verme şeklindeki yaygın uygulama bazen hatalı veya tamamen kötü niyetli sözleşmeler nedeniyle kripto kullanıcıları için kayıplara yol açarak bazı uzmanların kullanıcıları onayları düzenli olarak iptal etmeleri konusunda uyarmasına yol açtı.
Çoğu Web3 uygulamasının frontend’i, kullanıcıların onaylanan token miktarını doğrudan düzenlemesine izin vermez, bu nedenle, bir uygulamada bir güvenlik açığı olduğu ortaya çıkarsa kullanıcılar genellikle tokenlarının tam bakiyesini kaybeder. Kriptokoin.com olarak da bildirdiğimiz gibi MetaMask ve diğer cüzdanlar, kullanıcıların cüzdan onay adımında token onaylarını düzenlemesine izin vererek bu sorunu çözmeye çalıştı ancak birçok kripto kullanıcısı bu özelliği kullanmamanın riskinden hala habersiz.
