블루무브 DEX’ten 70 bin SUI çıkışı tartışma yarattı… ‘Önceden yerleştirilmiş arka kapı’ iddiası
Sui(SUI) ekosistemindeki merkeziyetsiz borsa Bluemove DEX’ten yaklaşık 500 bin dolar değerinde SUI token çıkışı yaşandı ve olay kısa sürede ‘içeriden müdahale’ şüphesine dönüştü. Tepkiler büyüyünce Bluemove bunun bir ‘hack’ olduğunu savundu ancak saldırının nasıl gerçekleştiğine dair tartışmalar daha da alevlendi.
Protos ve diğer yabancı kaynakların aktardığına göre, Quantum Void Labs kurucusu Tyler Simpson, geçtiğimiz cumartesi günü Bluemove’un kilitli likidite havuzundan 700 bin adetten fazla SUI’nin çıktığını gösteren bir işlem görüntüsü paylaştı. Simpson, ilk etapta Bluemove’un *kendi fonlarını kendisinin çekmiş olabileceğini* ima etti. Daha sonra ise platformun bir saldırıya maruz kalmış olma ihtimalini kabul ederek söylemini kısmen yumuşattı.
Simpson: “31 Mayıs paketi olayın başlangıcı”
Simpson, ertesi gün yaptığı açıklamada, Bluemove’un 31 Mayıs’ta devreye aldığı ‘paket’in bu exploit’in (’kelime’취약점 악용’kelime’) zeminini hazırladığını öne sürdü. İddiaya göre bu pakette ‘add_liquidity_returns’ gibi ‘kelime’değişmez fonksiyonlar’kelime’ ve ‘kelime’double-mint LP inflation’kelime’ olarak adlandırdığı bir yapı yer alıyordu ve saldırı, bu kod yayına alındıktan yaklaşık 40 gün sonra tetiklendi. Simpson bu nedenle olayı ‘kelime’gecikmeli rug pull’kelime’ şeklinde tanımladı. "yorum: Buradaki rug pull ifadesi, geliştiricilerin projedeki likiditeyi kademeli veya beklenmedik şekilde çekmesine gönderme yapıyor."
Bluemove cephesi ise tamamen zıt noktada duruyor. Şirket, internet sitesinde yayımladığı açıklamada, olayın Bluemove’un eski ‘kelime’AMM sözleşmesi’kelime’nde bulunan eski bir ‘kelime’aritmetik taşma (overflow) bug’ı’kelime’nın kötüye kullanılmasından kaynaklandığını savundu. Bu açığın en az 2023’ten bu yana var olduğuna, ancak sözleşme yükseltme sürecinde gözden kaçırıldığı için sonradan yamalanmasının zorlaştığına dikkat çekildi.
Bluemove, özellikle 3 Haziran’da sözleşmenin ‘kelime’UpgradeCap (yükseltme yetkisi)’kelime’nin yakıldığını, bu nedenle zincir üzerinde savunmasız v1 paketini güncellemenin veya devre dışı bırakmanın artık teknik olarak mümkün olmadığını vurguladı. Şirket, bu noktadan sonra ancak *bağımsız yönetici/dondurma fonksiyonuna sahip yeni bir paket* ya da *denetimden geçmiş tamamen yeni bir sürüme geçiş* ile çözüm üretilebileceğini belirtti.
“48 saat içinde iade edilirse kapanır”… Ödül pazarlığı teklifi
Bluemove, saldırgan olduğu düşünülen cüzdan adresine zincir üstünden mesaj göndererek ‘kelime’whitehat (etik hacker) ödülü’kelime’ teklif etti. Şirket, “Bluemove DEX havuzlarından yaklaşık 400 bin dolar çekildi. 48 saat içinde bunun yüzde 70’ini belirteceğimiz Sui adresine iade edersen, kalan yüzde 30’u whitehat ödülü olarak senin olacak” mesajını iletti. Fonların geri gönderilmesi durumunda olayı kapatacaklarını, aksi halde hem hukuki yolları hem de zincir üstü fon takibi ve geri alma girişimlerini devreye sokabileceklerini açıkladı.
Şirket ayrıca saldırgan iade sürecine katılmazsa, zarar gören tüm kullanıcıların tamamının tazmin edileceğini, ancak bunun ardından işletmeyi sonlandıracaklarını bildirdi. Şu anda Bluemove’un hizmetleri durdurulmuş durumda ve olayın teknik nedenlerine ilişkin inceleme sürüyor.
Sui ağı tarafı, Protos’un sorularına “yorum yapmıyoruz” yanıtını verdi. Olayın tamamen klasik bir siber saldırı mı, yoksa içerideki mimari zafiyetler ile başarısız bir yama sürecinin birleşimi mi olduğu henüz netleşmiş değil. Ancak yaşananlar, Sui(SUI) ekosisteminin geneline yönelik ‘kelime’güven algısı’kelime’ üzerinde belirgin bir baskı oluşturmuş durumda.
Yorum 0