DEXIBLE - REKT
Zincirler arası kaos devam ederken bir kriz-iletişim felaketi…
DEX aggregator’ı Dexible Cuma günü Ethereum ve Arbitrum'da toplam 2 milyon dolar kaybetti.
Kontratlar hızlı bir şekilde durdurulsa da, resmi duyuru hack'ten 9 saatten fazla bir süre sonra ve Peckshield alarmı verdikten beş saat sonra geldi.
İleti dizisi, yazılım takım liderlerinin “saldırıyı erken keşfettiğini” ancak aradan geçen saatlerde çeşitli tanıtım tweet'lerinin yayımlanabilinmesine rağmen “Twitter kanalının zamanında yanıt veremediğini” belirtiyor.
Ancak sonunda yanıt verdiklerinde, mesajlarının bir kısmı en iyi ihtimalle duyarsız veya en kötü ihtimalle kayıtsız kalınmış gibi algılandı:
İstismarın mazereti yoktur, ancak bu tarz şeyler olabilir.
Ve sonrasında bu da ne demek oluyor diye tepki geldiğinde Dexible ekibi acı bir gerçeği dile getirmek için sadece rekt.news'in liderlik tablosuna link verip atıfta bulunarak şunu ekledi:
DeFi'da istismarlar olabilir.
Kaynak: Dexible, Peckshield, Beosin
Dexible'ın yakın zamanda tanıtılan v2 kontratlarının bir özelliği, kullanıcıların selfSwap fonksiyonu üzerinden kendi yönlendirmelerini tanımlamalarına olanak tanır. Dexible'ın otopsi raporu (Telegram ve Discord aracılığıyla PDF formatında yayınlandı) şunları açıklıyor:
DEX'in hangi DEX'i çağıracağını ve bu DEX'e bir swap gerçekleştirmek için hangi verileri göndereceğini gösteren bir "route", her swap talebi içinde gömülüydü.
Ancak fonksiyon, router adresinin gerçekten bir DEX olup olmadığını, örneğin bir zincir üstü izin verilenler listesi kullanarak, kontrol etmez:
outer adresi zincir üzerinde hiçbir şekilde doğrulanmadı. Bu da, hacker’ın bir DEX akıllı kontratını çağırmak yerine, Dexible kontratında harcama izni almış herhangi bir hesaptan "transferFrom" talebiyle bir token kontratını çağırması anlamına geliyordu.
Saldırganın adresi (ETH, ARBI, BSC): 0x684083f312ac50f538cc4b634d85a2feafaab77a
Saldırı işlemi: 0x138daa4c…
Nispeten az sayıda adres etkilendi ve kayıpların çoğunun o sırada yaklaşık 1,4 milyon dolar değerinde 18 milyon TRU token kaybeden BlockTower Capital'e ait bir adresten geldiği bildirildi.
Toplamda yaklaşık 1,5 milyon dolar Ethereum'da kaybedildi ve Tornado Cash'e gönderildi. Ayrıca Tornado Cash aracılığıyla aklanmadan önce BSC'ye köprülenen Arbitrum'da 450 bin dolar daha kaybedildi.
Otopsi raporunda, Dexible ekibi, ekiplerinin deneyimine dayanarak denetlenmemiş kodu kullanıma açmayı haklı çıkarmaya çalıştı:
Son kontrat seti üzerinde resmi bir denetim yapılmadı. Birkaç topluluk üyemiz ve Dexible mühendisimiz kodu inceledi ve herhangi bir güvenlik açığı bulamadılar. Kontratları oluşturan çekirdek mühendis, 25 yılı aşkın yazılım mühendisliği deneyimine sahiptir ve güvenlik açığını görmemiştir. Ancak hacker’ın işlemlerinden birini inceledikten sonra, işlemin nasıl yürütüldüğünü hemen anladı.
Denetim sihirli bir değnek değildir elbet… ama kesinlikle yardımı dokunur.
En deneyimli mühendisler bile kendi kodlarındaki bir güvenlik açığını gözden kaçırabilir. Doğal olarak, yeni bir protokol oluştururken geliştiricilerin aklında öncelikle kullanıcılar bulunur.
Ancak bu sektörde güvenlik çok önemlidir.
Ve liderlik tablosunda denetlenmemiş protokollerden istemediğin kadar mevcut.
Dexible'ın kendi sözleriyle bitirelim:
DeFi'da istismarlar olabilir.
REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.
bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
sorumluluk reddi:
REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.
bunu da beğenebilirsin...
LEVEL FINANCE - REKT
Level Finance level atladı. Dün BSC tabanlı perp platformundan 1,1 milyon dolarlık üye getirme ödülü çalındı. ilk olarak bir hafta önce saldırı girişiminde bulunuldu, ancak görünüşe göre kimse fark etmedi. Erken bir uyarı acaba Level'i kurtarabilir miydi?
MERLIN DEX - REKT
Merlin klasik DeFi sihir numarasını yapınca 1,8 milyon dolar birdenbire puf diye kayboldu. zksync-native DEX, Certik ile denetimini yeni tamamlamıştı. Bu kadar kolay rug’lanabilen bir protokole nasıl yeşil ışık yakılabilir? Yoksa kullanıcılar da mı suçlu?
Hundred Finance - REKT 2
15 Nisan'da Hundred Finance, Optimism'de 7.4 milyon dolarlık bir istismara maruz kaldı. Bu, Agave DAO ve Meter ile aynı sahneyi paylaştıktan sonra protokolün ilk solo makalesidir. Hundred'ın liderlik tablosu toplamı şu anda 16,9 milyon dolara ulaştı... peki bu seferkinin sebebi neydi?