Bilmeniz Gerekenler
Aztec Connect akıllı sözleşmelerinden yaklaşık 2,1 milyon dolar değerinde varlık çekildi. Zincir üstü güvenlik şirketi BlockSec’e göre saldırıda 909 ETH, 270 bin DAI ve 167 wstETH ele geçirildi. Olayın dikkat çeken yönü, açığın üç yıl önce kullanımdan kaldırılan bir gizlilik köprüsünde bulunması ve Aztec Labs ekibinin açıklamasına göre sistemde müdahale edilebilecek bir mekanizmanın artık yer almaması oldu.
Eski köprüdeki açık nasıl kullanıldı
Aztec Connect, Mart 2023’te kullanım dışı bırakılmadan önce kullanıcıların Aave ve Lido gibi merkeziyetsiz finans uygulamalarıyla etkileşime geçmesini sağlayan bir zk rollup köprüsü olarak çalışıyordu. Aztec Labs ise Mart 2024 itibarıyla kendi sequencer altyapısını durdurdu. Aztec, gizlilik odaklı akıllı sözleşmelere odaklanan bir proje olarak biliniyor.
Mini sözlük: zk rollup, çok sayıda işlemi zincir dışında gruplayıp sonucu ana ağa taşıyan bir ölçekleme yöntemidir. Zero knowledge proof ise işlemin geçerli olduğunu, işlem ayrıntılarını açığa çıkarmadan doğrulamayı amaçlayan kriptografik bir yöntem olarak kullanılır.
BlockSec Phalcon analizine göre açık, doğrulanan işlem kümesi ile L1 mutabakat süreci arasındaki sınırda ortaya çıkan bir uyumsuzluktan kaynaklandı. CertiK de sorunun, sunulan kanıt verisinin eksik doğrulanmasıyla ilgili olduğunu belirtti. Buna göre sözleşmedeki bir işlev yalnızca kanıtın başlangıç bölümünü kontrol etti, başka bir bölümde yer alan token transfer talimatları ise doğrulanmadan kaldı. Bu durumun saldırgana para çekme sürecini manipüle etme imkanı verdiği aktarıldı.
Aztec Labs, Aztec Connect’in üç yıl önce kullanımdan kaldırıldığını, sistem üzerinde idari anahtar ya da kontrol yetkisi bulunmadığını, bu nedenle protokolün durdurulamadığını veya güncellenemediğini açıkladı.
Aztec Labs ve vakfın açıklamaları
Aztec Labs, olayın incelendiğini doğruladı ancak doğrudan müdahale imkanı olmadığını bildirdi. Ayrı bir açıklama yapan Aztec Foundation ise olayın AZTEC ERC 20 tokeniyle ilişkili akıllı sözleşmelerle veya mevcut Aztec ağıyla bağlantılı olmadığını vurguladı. Vakıf, bugünkü ağın özel akıllı sözleşmelere odaklandığını belirtti.
Aztec Foundation, olayın mevcut Aztec ağına ya da AZTEC ERC 20 tokenine bağlı sözleşmeleri etkilemediğini, sorunun sadece eski Aztec Connect altyapısıyla sınırlı olduğunu kaydetti.
Aztec Labs, köprüyü sonlandırdığı dönemde gizlilik odaklı yaklaşım gereği sözleşmeler üzerindeki yönetici anahtarlarından feragat etmişti. Ancak bu tercih, sonradan ortaya çıkan bir güvenlik açığı karşısında düzeltme yayımlanmasını da fiilen imkansız hale getirdi.
Maddi kayıp ve daha geniş tablo
DeFiLlama verilerine göre saldırı öncesinde Aztec Connect sözleşmelerinde kilitli toplam değer yaklaşık 2,15 milyon dolardı. Erişilen miktarın büyük ölçüde bu bakiyeyle örtüştüğü görülüyor.
Haberde yer alan bilgiye göre saldırı sırasında sözleşmelerde kalan varlıklar aktif biçimde izlenmiyordu. Bu da, proje başka bir yapıya geçmiş olsa bile eski sözleşmelerde bırakılan fonların doğrudan ilk kod tabanının güvenliğine bağlı kaldığını yeniden gündeme taşıdı.
Haziran ayının ortası itibarıyla kripto ekosistemindeki toplam istismar kaynaklı kaybın 43,93 milyon dolara ulaştığı belirtildi. Ayın ilk günlerinde Gnosis Pay ve TesseraDAO da benzer olaylarla gündeme gelmiş, TesseraDAO’nun BNB Chain üzerindeki saldırıda 2,5 milyon dolar kaybettiği aktarılmıştı. Bu tablo, kullanımdan kaldırılmış platformların da saldırganların odağında kalmayı sürdürdüğünü gösteriyor.
Bu haberler ilginizi çekebilir
Bir yanıt yazın Yanıtı iptal et
E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir
Paratrendi Haber Merkezi