Merkezi olmayan bir borsa ve para piyasası protokolü olan Dolomite kripto para borsası, yakın zamanda bir güvenlik ihlali yaşadı ve yaklaşık 1,8 milyon dolar kayba uğradı. Blockchain güvenlik firması CertiK’in raporuna göre bir saldırgan, 2019’da Ethereum blockchain üzerinde konuşlandırılan eski bir Dolomite sözleşmesindeki bir güvenlik açığından yararlandı. Bu sırada AirDAO’nun açıklamasına göre hackerlar, AMB/ETH havuzundan yüklü miktarda coin çaldı.
Dolomite, eski akıllı sözleşmesinde hack yaşadı
Dolomite, 2022’de birincil operasyonlarını Arbitrum ağına geçirdi ve Ethereum sürümü desteğini kademeli olarak kaldırdı. Ancak akıllı sözleşmelerin değişmez doğası nedeniyle Ethereum sürümü, geliştirici araçları aracılığıyla kullanıcılar tarafından erişilebilir olmaya devam etti. Saldırgan, eski sözleşmedeki “callFunction” adı verilen belirli bir işlevi hedef aldı. Bu işlev, kullanıcıların sözleşme kapsamında çeşitli komutları yürütmesine olanak tanır. Yetkisiz erişimi önlemek için korumalar mevcut olsa da kritik bir kusur mevcuttu.
“CallFunction” özelliği, “yeniden giriş koruması” olarak bilinen çok önemli bir güvenlik önleminden yoksundu. Bu koruma genellikle saldırganların kodu manipüle etmesini ve kullanıcı fonlarını tüketmesini önler. Saldırgan, “callFunction” ile etkileşime giren “TradeManager” adlı ikincil bir sözleşme tespit etti. Özellikle, “TradeManager” içindeki “çağrı” işlevi yeniden giriş korumasından yoksundu ve bu da istismar edilebilir bir boşluk yarattı. Saldırgan, bu güvenlik açığını manipüle ederek “callFunction” aracılığıyla yetkisiz aramalar gerçekleştirebildi ve sonuçta kullanıcı hesaplarındaki fonlar boşaltıldı.
AirDAO’dan hack açıklaması
Diğer yandan AirDAO, AMB/ETH Uniswap havuzundan 35,2 milyon AMB token ve 125,51 ETH’lik büyük bir hırsızlık gerçekleştiğini duyurdu. Ekip, faili yakalamak ve çalınan varlıkları geri almak için borsalar ve ilgili makamlarla işbirliği yapıyor. Hackerın kimliği hala bilinmiyor, ancak AirDAO, fonları derhal iade edenlere %10’luk bir “beyaz şapka” ödülü teklif ediyor. Aksi takdirde, ekip kolluk kuvvetlerine başvuracak.
Kripto para alanında istismarlar yaygın
Dolomit veya AMB havuzu istismarı maalesef münferit bir olay değil. Mart 2024’te bir dizi DeFi ihlali yaşandı. Unizen ve Mozaic Finance gibi protokoller de saldırıların kurbanı oldu. Bu olaylar, DeFi alanındaki siber tehditlerin gelişen doğasının ve hem geliştiricilerin hem de kullanıcıların sürekli dikkatli olmaları gerektiğinin altını çiziyor.
Dolomite ekibi şu anda istismarın ardından yaşananları ele almak için çalışıyor. Öncelikli odak noktası daha fazla kaybın önlenmesi olsa da olay, DeFi’de sağlam güvenlik önlemlerinin öneminin açık bir hatırlatıcısı olarak hizmet ediyor. DeFi ekosistemi gelişmeye devam ettikçe geliştiricilerin güvenlik denetimlerine öncelik vermesi ve kullanıcı fonlarını korumak ve kripto topluluğu içinde güven oluşturmak için en iyi uygulamaları uygulaması gerekiyor.