Haberler 
Coin Bilgisi 
Hakkımızda 
Merkeziyetsiz finans(DeFi) protokolü SIR.trading’in tüm varlıkları 30 Mart’ta gerçekleşen *hack* saldırısıyla çalındı. Olayın ardından kimliği bilinmeyen kurucu ‘Xatarrer’, saldırgana seslenerek 355.000 doların yaklaşık %70’inin iade edilmemesi halinde projenin hayatta kalamayacağını söyledi. Kurucu ayrıca, saldırganın en az 255.000 dolarlık kısmı geri göndermesi için kamuya açık bir on-chain mesaj aracılığıyla çağrıda bulundu.
Xatarrer, 31’inde kaleme aldığı mesajında hacker’ın 100.000 doları *hayati bir güvenlik açığını keşfetmenin karşılığı olarak* tutabileceğini kabul etti. Kalan miktarın iadesi durumunda olayı kapatacaklarını ve yasal işlem başlatmayacaklarını ifade etti. Ona göre SIR.trading, dört yıl süren geliştirme sürecinin ardından kurucunun yalnızca 70.000 dolarlık şahsi kaynağıyla yürütüldü. Proje herhangi bir tanıtım kampanyası olmadan 400.000 dolarlık toplam kilitli değere (TVL) ulaşmayı başardı.
Kurucu, platformun tüm fonlarının alınmasının projeyi *yaşayamaz hale getirdiğini* belirtti ve saldırıyı gerçekleştiren kişinin teknik becerilerini övdü. *Yorum: Bu ifade saldırganın yöntemine verilen teknik bir takdir olarak değerlendirilebilir.* “İnsanlar zarar görmemiş olsaydı, bu saldırı neredeyse sanat eseri sayılabilirdi,” dedi.
Ancak bugüne kadar saldırgandan herhangi bir yanıt alınmadı. Elde edilen varlıkların, Ethereum tabanlı gizlilik protokolü Railgun üzerinden aklandığı ve bu işlemlerin Ethereum blokzincir gezgini Etherscan ile tespit edildiği bildirildi.
Saldırının, Ethereum’a 2024’te eklenen ‘Dencun’ yükseltmesi sonrası tanıtılan *transient storage* (geçici depo alanı) özelliğindeki ciddi bir güvenlik açığından kaynaklandığı belirtiliyor. Saldırgan, SIR.trading protokolündeki ‘Vault’ akıllı sözleşmesinin *callback* fonksiyonuna sızarak Uniswap havuz adresini kendi adresiyle değiştirdi. Ardından bu işlemi defalarca tekrarlayarak tüm fonları kendi hesabına aktarmayı başardı.
Dencun güncellemesi, Ethereum ağındaki veri saklama maliyetini düşürme hedefiyle transient depolama alanı gibi yenilikler sunmuştu. Ancak bu olay, söz konusu yeni teknolojilerin potansiyel güvenlik risklerini de gündeme getirdi.
SIR.trading, kaldıraçlı işlemlerde sık yaşanan volatilite kayıplarını ve tasfiye risklerini önlemeyi hedefleyen bir projeydi. Önde gelen blockchain güvenlik firması CertiK’e göre Mart ayında kripto piyasasında toplamda 28,8 milyon dolar kayıp yaşandı. Bu rakam Şubat’a kıyasla azalsa da, SIR.trading vakasında olduğu gibi sistemsel açıkları hedef alan saldırıların sürdüğü ve kullanıcı mağduriyetinin devam ettiği bildiriliyor.
Yorum 0