Merkeziyetsiz finans protokolü Echo Protocol, bir saldırganın yönetici özel anahtarını ele geçirmesi ve Monad blok zincirinde yaklaşık 1.000 eBTC tokeni mintlemesiyle büyük bir güvenlik olayı yaşadı. Blok zinciri analiz firması PeckShield ve blok zinciri izleme hizmeti Lookonchain, bu istismarı 19 Mayıs'ta tespit etti ve mintlenen sentetik Bitcoin tokenlerinin yaklaşık 76,7 milyon dolar nominal değere sahip olduğunu belirtti.
İnceleme detayları, istismar edilen olayın akıllı sözleşme kodu açıklarından ziyade operasyonel konfigürasyon hatalarından kaynaklandığını gösteriyor. Tek imzalı yönetici rolü, çok imzalı yönetişim modülünün olmaması ve arz kısıtlamalarının bulunmaması, saldırganın içsel arz güvenliği kontrollerini tetiklemeden mint fonksiyonunu çağırmasına olanak tanıdı. Protokolün timelock (zaman kilidi) ve oran sınırlama mekanizmaları devreye alınmadığından, yetkisiz token üretimi anında gerçekleşti.
Mint işlemi sonrasında saldırgan, elde edilen gelirlerin bir kısmını aklamak amacıyla 45 eBTC’yi Curvance borç verme ve likidite yönetim protokolüne yatırmaya çalıştı. Saldırgan, depozito karşılığında 11,3 wrapped Bitcoin (wBTC) ödünç aldı, fonları Ethereum’a köprüledi ve tokenleri 384 ETH karşılığında değiştirdi. Tornado Cash ise mixing hizmeti olarak kullanıldı; bu yol üzerinden 822.000 dolar değerinde ETH yönlendirildi. Blok zinciri adli verileri, yaklaşık 73 milyon dolar değerinde 955 eBTC’nin saldırganın adresinde Echo Protocol ele geçirilen yönetici anahtarını yeniden kontrolüne geçene kadar kaldığını gösteriyor. Protokol yöneticileri daha sonra 955 eBTC’yi yakarak yetkisiz arzın çoğunu etkisiz hale getirdi.
Protokol ekibi açıklamaları, yönetişim ve operasyonel kontrollerin tam bir denetimi yapılana kadar zincirler arası işlemlerin askıya alındığını doğruladı. Monad ağı kurucu ortağı Keone Hon, temel katman-1 blok zincirinin etkilenmediğini ve normal işlemlerin devam ettiğini doğruladı. Curvance, riskleri sınırlamak ve ikincil istismarları önlemek amacıyla etkilenen eBTC pazarını geçici olarak durdurdu.
Bu olay, DeFi protokol istismarlarının endüstri çapında artış gösterdiğini vurguluyor; çünkü operasyonel yönetişim hataları saldırganlar için odak noktaları haline geliyor. Önemli örnekler arasında THORChain’in 15 Mayıs'taki 10 milyon dolarlık istismarı ile Verus Protocol çapraz zincir köprüsü hack’i yer alıyor; bu olaylar toplamda 11,6 milyon dolar kayba yol açtı. Mayıs ayında protokol hırsızlıklarından toplam kayıp, şimdi 100 milyon doların üzerine çıktı ve akıllı sözleşme dağıtımlarında standart operasyonel denetimler ve çok imzalı yönetişim modellerinin benimsenmesi çağrılarını güçlendiriyor.
Güvenlik uzmanları, tek bir arıza noktasına yol açabilecek riskleri azaltmak için timelock sözleşmelerinin, arz sınırlamalarının, çok imzalı rollerin ve merkezi olmayan otonom organizasyon (DAO) çerçevelerinin benimsenmesini öneriyor. Endüstri katılımcıları, etkilenen likidite sağlayıcıları ve token sahipleri için uzun vadeli yönetişim iyileştirmelerini ve tazminat planlarını değerlendirmek amacıyla Echo Protocol’ün olay sonrası raporunu bekliyor.
Yorumlar (0)