Bu Kripto Para Platformu Hacklendi: İşte Bilançosu!
Bir kripto para platformu olan Dexible, ağındaki bir güvenlik açığından etkilendi. Bunun sonucuna 2 milyon dolarlık kayıp ortaya çıktı. İşte detaylar…
Kripto para platformuna hack saldırısı
Ekip tarafından projenin resmi Discord sunucusunda yayınlanan 17 Şubat tarihli bir otopsi raporuna göre, çok zincirli borsa toplayıcı Dexible bir açıktan etkilendi ve sonuç olarak 2 milyon dolarlık kripto para ünitesi kayboldu. Gece saatleri itibariyle, Dexible kullanıcı arabirimi, kullanıcılar platforma her gittiğinde atak hakkında bir açılır pencere uyarısı gösteriyor. Ekip sabah saatlerinde Dexible v2 kontratlarında potansiyel bir hack keşfettiğini ve sorunu araştırdığını açıkladı. Akabinde, 17 traderın adresinden 2.047.635,17 dolar kullanıldığını belirttiler.

Otopsi raporu dün akşam saatlerinde bir PDF belgesi olarak Discord’da yayınlandı ve ekip “aktif olarak bir iyileştirme planı üzerinde çalıştığını” söyledi. Raporda ekip, kurucularından birinin o sırada bilinmeyen nedenlerle cüzdanından 50.000 dolar bedelinde kripto para çıkardığında bir şeylerin zıt gittiğini fark ettiğini belirtiyor. Araştırmanın akabinde ekip, bir saldırganın uygulamanın selfSwap fonksiyonunu kullanarak daha evvel uygulamaya tokenlerini taşıma yetkisi vermiş kullanıcılardan 2 milyon doların üzerinde kripto para taşıdığını tespit etti.
Hacker, fonları BNB’ye dönüştürdü
SelfSwap fonksiyonu, kullanıcıların bir yönlendiricinin adresini ve bununla alakalı davet datalarını sağlayarak bir tokenı oburuyla değiştirmesine müsaade verdi. Fakat, koda yazılmış evvelden onaylanmış yönlendiricilerin listesi yoktu. Saldırgan, Dexible’dan her bir token kontratına bir süreci yönlendirmek için bu fonksiyonu kullandı ve kullanıcıların tokenlarını, cüzdanlarından saldırganın kendi akıllı kontratına taşıdı. Bu berbat niyetli süreçler, kullanıcıların zati tokenlerini harcamak için yetkilendirdiği Dexible’dan geldiği için, token kontratları işlemleri engellemedi.

Saldırgan, tokenları kendi akıllı mukavelesine aldıktan sonra, tokenları Tornado Cash aracılığıyla bilinmeyen bir cüzdana aktararak BNB’ye dönüştürdü. Dexible, mukavelelerini duraklattı ve kullanıcıları onlar için token yetkilendirmelerini iptal etmeye çağırdı. Büyük ölçüler için token onaylarına müsaade verme biçimindeki yaygın uygulama bazen kusurlu yahut büsbütün makus niyetli kontratlar nedeniyle kripto kullanıcıları için kayıplara yol açarak birtakım uzmanların kullanıcıları onayları nizamlı olarak iptal etmeleri konusunda uyarmasına yol açtı.
Çoğu Web3 uygulamasının frontend’i, kullanıcıların onaylanan token ölçüsünü direkt düzenlemesine müsaade vermez, bu nedenle, bir uygulamada bir güvenlik açığı olduğu ortaya çıkarsa kullanıcılar ekseriyetle tokenlarının tam bakiyesini kaybeder. Coinler.us olarak da bildirdiğimiz üzere MetaMask ve başka cüzdanlar, kullanıcıların cüzdan onay adımında token onaylarını düzenlemesine müsaade vererek bu sorunu çözmeye çalıştı lakin birçok kripto kullanıcısı bu özelliği kullanmamanın riskinden hala habersiz.
