Haberler 
Coin Bilgisi 
Hakkımızda 
Ethereum(ETH) tabanlı merkeziyetsiz finans (DeFi) protokolü SIR.trading, 30’unda yapılan bir *siber saldırıyla* tüm toplam kilitli varlığını (TVL) kaybetti. Toplam 355.000 dolar (yaklaşık 5,19 milyar Kore wonu) tutarındaki kayıp, platform için elim bir durum oluştururken, saldırının arkasındaki teknik detaylar kripto topluluğunda ciddi endişelere yol açtı. Olay, *blokzincir güvenlik şirketleri* TenArmor ve Decurity tarafından doğrulandı.
Decurity'nin açıklamasına göre, saldırı, Ethereum'un yakın zamanlı *Dencun hard fork* güncellemesiyle gelen ‘*geçici veri depolama*’ (transient storage) işlevindeki bir açık hedef alınarak gerçekleştirildi. Bu teknoloji, EIP-1153 önerisiyle 2023 yılında Ethereum ağına entegre edilmişti ve gaz ücretlerini azaltmak amacıyla geçici veri depolama sunuyordu. SupLabsYi adlı güvenlik araştırmacısı, saldırının bu özelliğin *temel bir güvenlik zafiyetini* gösterdiği görüşünde.
Saldırgan, SIR.trading protokolündeki *‘vault’* (kasalar) akıllı sözleşmesinde yer alan *callback* fonksiyonunu manipüle etti. Bu fonksiyonda yer alan *Uniswap havuzu* adresini kontrol ettiği bir adresle değiştirerek, kasadaki tüm fonları kendi cüzdanına aktardı. Üstelik bu işlem yalnızca bir kez yapıldı; saldırgan, sistemin *tekrarlı çağırma mekanizmasını* kullanarak tüm varlıkları tek seferde ele geçirmeyi başardı. Güvenlik firması TenArmor, çalınan fonların *gizlilik odaklı* Railgun protokolü üzerinden aklanmaya çalışıldığını; protokolün anonim kurucusu Xatarrer’ın ise Railgun ile iletişime geçtiğini bildirdi.
SIR.trading'in amacı, kullanıcılara volatilitenin ve zorunlu tasfiyelerin azaltıldığı daha *güvenli bir kaldıraçlı işlem deneyimi* sunmaktı. Ancak saldırı, bu hedefi doğrudan baltalamış oldu. İlginç bir detay olarak, protokolün kullanıcı belgelerinde sistemin önceden denetlendiği ancak *karmaşık sözleşme yapısı* nedeniyle hâlâ güvenlik açıkları barındırabileceği belirtilmişti. Özellikle ‘vault’ modülüne dair güvenlik uyarıları önceden paylaşılmıştı.
SIR.trading vakasındaki zarar miktarı birçok DeFi saldırısına kıyasla *görece düşük* görünse de, kullanılan saldırı yöntemi açısından önem taşıyor. Zira, *Ethereum’un yeni bir özelliğini* hedef alan ilk uygulamalı saldırı olarak kayda geçti. Blokzincir güvenlik uzmanları, bu olayın ardından *“transient storage”* fonksiyonunun kapsamlı şekilde güvenlik denetiminden geçirilmesi gerektiği konusunda hemfikir.
Yorum 0