Haberler 
Coin Bilgisi 
Hakkımızda 
Sui(SUI) tabanlı getiri işlem protokolü Nemo, akıllı sözleşmelerdeki denetlenmemiş bir kod nedeniyle yaklaşık 2,59 milyon dolar (yaklaşık 36 milyar Kore wonu) tutarında varlık kaybı yaşadı. Nemo, geçtiğimiz günlerde yayımladığı güvenlik raporunda saldırının nasıl gerçekleştiğini ve sonrasında nasıl tepki verildiğini ayrıntılı şekilde açıkladı.
Olay 7 Eylül’de gerçekleşti. Saldırgan, protokolün 'slippage' (kayma) miktarını en aza indirmek için kullanılan `get_sy_amount_in_for_exact_py_out` fonksiyonundaki bir *zafiyeti* suistimal ederek protokolün durumunu değiştirmeyi başardı. Söz konusu fonksiyon, güvenlik firması Asymptotic’in resmi onayını almadan zincir üzerinde dağıtılmıştı ve bu değişiklik yalnızca tek bir adresin imzasıyla yapılmıştı.
Asymptotic, yayımladığı ön raporda bu kodu *potansiyel bir risk* olarak işaretlemişti ancak Nemo ekibi bu uyarıya derhal tepki göstermediklerini kabul etti. Dağıtım sırasında zorunlu kontrol adımlarından biri olan denetim 'hash’i de kullanılmadı; bu sayede geliştirici, güvenlik denetimini fiilen atlamış oldu.
Bu olay, akıllara birkaç ay önce NFT platformu SuperRare’in yaşadığı benzer bir güvenlik açığını getirdi. SuperRare, Temmuz ayı sonunda yalnızca temel testlerle önlenebilecek bir yazılım hatası nedeniyle yaklaşık 730 bin dolar (yaklaşık 10,15 milyar Kore wonu) zarar yaşamıştı.
Nemo, sorunlu kodun aslında Ocak ayında dağıtıldığını açıkladı. Ironik bir şekilde, bu dağıtım sürecini güvence altına alan ek güvenlik önlemleri saldırıdan ancak üç ay sonra, Nisan ayında devreye alındı. Üstelik Asymptotic’in 11 Ağustos’ta bu konuyla ilgili bir kez daha uyarıda bulunmasına rağmen, Nemo ekibi başka sorunlara odaklandıkları gerekçesiyle açığı görmezden geldiklerini ifade etti.
Şu anda Nemo, olayın daha da büyümemesi için protokolün temel işlevlerini geçici olarak durdurdu. Proje ekibi, bazı güvenlik topluluklarıyla birlikte çalışarak *merkezî borsalarda saldırganın varlıklarını dondurmak* için uğraşıyor. Aynı zamanda acil bir yazılım yaması hazırlayarak bunun Asymptotic tarafından yeniden incelendiğini belirtti. Protokolde hataları düzeltmek adına 'flash loan' özelliğinin kaldırılması ve manuel sıfırlama işlevlerinin eklenmesi gibi önlemler alınıyor.
Zarar gören kullanıcılar için bir tazminat planı da hazırlanıyor. Nemo, tokonomik seviyede borç yapılandırması gibi unsurları da içeren kapsamlı bir kullanıcı tazminat planı oluşturduklarını belirtti. Ekip, yaşanan krizin ardından *güvenlik ve risk yönetiminin sürekli dikkat gerektiren alanlar* olduğunu hatırladıklarını ve daha güçlü iç kontrol sistemleri ile savunma altyapısını geliştirmeye kararlı olduklarını vurguladı.
Yorum 0