Merkezi olmayan finans (DeFi) dünyasında yakın zamanda yaşanan bir olay, saldırganlar tarafından istismar edilebilecek güvenlik açıklarına dikkat çekti. Bir bilgisayar korsanı, ABD İzinsiz Dolar (USPD) protokolündeki bir güvenlik açığından yararlanarak 1 milyon doların üzerinde likidite çekti.
Saldırı nasıl gerçekleşti?
USPD ekibinin sosyal medyada yayınladığı bir rapora göre, kimliği belirsiz bir saldırgan tek bir işlemde 3.122 ETH yatırdı ve 98 milyon USPD token'ı bastı. Sonuç olarak, oluşturulan token miktarı ilk yatırılan miktarın on katı oldu ve bilgisayar korsanı ek olarak 237 stETH daha aldı. Çalınan kripto varlıklar, merkezi olmayan borsa Curve aracılığıyla 300.000 USDC stablecoin ile değiştirildi.
Protokoldeki kritik güvenlik açığını keşfeden USPD geliştiricileri, müşterilerini USPD stablecoin'leri satın almamaya ve tüm izinleri derhal iptal etmeye çağırdı.
CPIMP Saldırı Vektörü
Protokol ekibi, saldırı için CPIMP (Gizli Proxy Ortasında Proxy) adı verilen gelişmiş bir saldırı vektörünün kullanıldığını açıkladı. Saldırgan, birkaç ay önce proxy sunucusunun kontrolünü ele geçirmişti. 16 Eylül'de, Multicall3 işlemini kullanarak başlatma sürecini başlattılar. CPIMP'yi kullanan saldırgan, gizlice yönetici ayrıcalıkları elde ederek protokol betikleri üzerinde tam kontrol elde etti ve bu sayede yetkisiz token ihracını başlattı.
Gölge Sözleşme
Kötü amaçlı yapılandırmayı kullanıcılardan, denetçilerden ve hatta Ethereum blok zinciri tarayıcısı Etherscan'den gizlemek için saldırgan, çağrıları doğrulanan sözleşmeye yönlendiren bir gölge sözleşme uyguladı. Bu kamuflajı kullanarak, olay verilerini manipüle etti ve blok tarayıcılarını güvenli bir sözleşmenin yürütüldüğünü bildirmeleri için kandırmak amacıyla depolama yuvalarını taklit etti. Bu durum, bilgisayar korsanının proxy sunucusunu güncelleyip protokolü tüketmek için token'lar dağıtana kadar akıllı sözleşmeyi aylarca tamamen kontrol etmesini sağladı.
USPD Ekibinin Yanıtı
USPD ekibi, fon hareketlerini takip etmek için olayı araştırmak üzere kolluk kuvvetleri, güvenlik uzmanları ve büyük borsalarla iletişime geçtiğini belirtti. USPD geliştiricileri, saldırgana iş birliği karşılığında %90 geri ödeme teklif ederek, durumun ciddiyetini ve kaybedilen fonları kurtarma konusundaki kararlılıklarını vurguladı.
Sonuç Olarak
Bu olay, güvenlik ve şeffaflığın temel ilkeler olduğu merkezi olmayan finans dünyasında bile, saldırganlar tarafından istismar edilebilecek güvenlik açıklarının mevcut olduğunu hatırlatıyor. Geliştirme ekipleri, gelecekte benzer saldırıları önlemek için protokollerinin güvenliğini artırmak için çalışmaya devam etmelidir.