Haberler 
Coin Bilgisi 
Hakkımızda 
Foom Cash(Foom Cash), sıfır bilgi ispatı(ZK) tabanlı anonim piyango protokolüyle öne çıkarken, dağıtım sürecindeki tek bir ‘kritik hata’ nedeniyle 2,26 milyon dolar (yaklaşık 33 milyar 4,336 milyon won) büyüklüğünde bir ‘exploit’ ile karşı karşıya kaldı. Ancak bir whitehat hacker’ın hızlı müdahalesi sayesinde zararın büyük kısmı geri alınırken, Web3 güvenlik olaylarında ‘etik hacker’lerin rolü yeniden gündeme geldi.
Foom Cash, 3’ünde (yerel saatle) X’te (eski Twitter) yaptığı açıklamada saldırıda çalınan fonların 1,84 milyon dolarının (yaklaşık 27 milyar 2,246 milyon won), yani toplam tutarın ‘yüzde 81’inin geri kazanıldığını duyurdu. Protokol ekibi, takma isimli whitehat hacker ‘Duha’nın zafiyeti ilk fark eden taraf olduğunu, Base zinciri üzerindeki fonları proaktif şekilde güvence altına aldığını belirtti. Ethereum(ETH) ağındaki geri alma operasyonu ise siber güvenlik şirketi Decurity tarafından yürütüldü.
Foom Cash, Duha’ya ‘bug bounty’ kapsamında 320 bin dolar (yaklaşık 4 milyar 7,347 milyon won), Decurity’ye ise ‘güvenlik ücreti’ olarak 100 bin dolar (yaklaşık 1 milyar 4,796 milyon won) ödedi. Duha, “@foomclub_’un bug bounty politikasına saygı göstermesi, protokol güvenliğini ciddiye aldığını ve bunu geliştirmeye çalışan araştırmacılara değer verdiğini gösteriyor” yorum değerlendirmesinde bulundu.
Foom Cash tarafına göre bu exploit’in çıkış noktası, ‘Phase 2 trusted setup’ sürecinde komut satırı arayüzü (CLI) aşamasının atlandığı bir dağıtım hatasıydı. Protokol, Groth16 tabanlı ispat üretim sürecinde snarkjs’in devre bazlı contribution adımının atlanması halinde gamma(γ) ve delta(δ) parametrelerinin varsayılan olarak ‘aynı’ kalabildiğini açıkladı. Bu durumun, protokolün ‘sahte ispatları’ kabul etmesine kapı araladığı belirtildi. Foom Cash, rastgeleleştirilmesi gereken placeholder değerlerinin sabit kaldığını ve saldırganın tam da bu noktayı istismar ettiğini ifade etti. Yani sorun, akıllı sözleşme kodunun temel mimarisinden çok, dağıtım ve doğrulama hattında yaşanan tek bir eksik adımın büyük bir güvenlik açığına dönüşmesi olarak yorumlanıyor yorum.
Whitehat hacker’lerin hızlı ve gönüllü müdahalesi, DeFi ekosistemindeki güvenlik vakalarında giderek daha sık görülen bir tablo haline geliyor. Saldırganlar çaldıkları varlıkları farklı zincirlere köprüleme ya da gizlilik araçlarına taşıma fırsatı bulamadan önce, etik hacker’ler zafiyetleri tespit edip fonları korumalı adreslere ‘izole’ ederek önemli bir savunma hattı oluşturuyor. 2023 Ağustos’ta Paradigm araştırmacısı Samczsun(Samczsun) tarafından kurulan etik hacker ağı SEAL(Security Alliance), bu yeni yaklaşımın sembol örneklerinden biri. Çeşitli haber kaynaklarına göre SEAL, ilk yılında 900’den fazla hack vakasında inceleme ve koordinasyona dahil oldu.
Bu eğilim, büyük çaplı saldırıların arttığı piyasa koşullarıyla da yakından ilişkili. 2024’te Hindistan merkezli kripto para borsası WazirX’te(WazirX) 230 milyon doların (yaklaşık 340 milyar 2,108 milyon won) üzerinde varlık çalınmasının ardından, sektör genelinde ‘ekosistem düzeyinde’ müdahale ve koordinasyon çağrıları güçlendi. 10 Şubat’ta (yerel saatle) Ethereum Vakfı(Ethereum Foundation) ile SEAL, ‘Trillion Dollar Security’ girişimini başlattı ve özellikle ‘cüzdan drainer’ (cüzdan varlıklarını otomatik boşaltan zararlı araçlar) tehditlerine karşı ortak savunmayı güçlendirme sözü verdi.
Foom Cash vakası, Web3 güvenliğinde yalnızca ‘olay sonrası kurtarma’ değil, ‘olay öncesi engelleme’ mekanizmalarının da ne kadar kritik olduğunu bir kez daha gösterdi. Protokoller karmaşıklaştıkça, dağıtım süreçleri, doğrulama aşamaları ve güvenlik teşviklerinin tek bir bütün olarak ele alınması gerektiği vurgulanıyor. Bu çerçevede ‘bug bounty’ programları ile küresel ölçekte örgütlenen etik hacker ağlarının rolünün, DeFi ve genel Web3 ekosisteminde daha da büyümesi bekleniyor yorum.
Yorum 0