Sömürü Zaman Çizelgesi ve Mekanikleri
Pazartesi günü, Sui blockchain üzerinde kurulu getiri optimizasyon protokolü Nemo, 2,4 milyon dolar değerinde USDC kaybına yol açan bir güvenlik ihlali yaşadı. Saldırgan, Nemo’nun köprü entegrasyonundaki bir açığı kullanarak stabilcoin rezervlerinden yetkisiz para çekmeye olanak sağladı. Fonlar, dağıtımdan önce Arbitrum’dan Ethereum’a köprülenip bir dizi mikser işlemiyle dağıtıldı.
Blockchain güvenlik şirketi Peckshield, zincir üstü izleme yoluyla şüpheli büyük ölçekli USDC hareketlerini tespit etti. Sömürü, token sözleşmesinin yetkilendirme mantığındaki bir kusuru kullanarak çoklu imza kontrollerini atlattı. İhlalin ardından, Nemo’nun toplam kilitli değeri (TVL) zirvedeki 6 milyon doların üzerindense 1,53 milyon dolara düştü ve kullanıcı teminat ile getiri pozisyonları azaldı.
Protokol Mimarisi ve Güvenlik Açıkları
- Getiri tokenizasyonu: Nemo, stake edilen varlıkları İkincil Ticaret için Ana Para Tokenleri (PT) ve Getiri Tokenleri (YT) olarak ayırır.
- Köprü entegrasyonu: Zincirler arası likidite için üçüncü taraf bir köprüye bağımlılık saldırı yüzeyi oluşturdu.
- Yetkilendirme hatası: İmzalı mesajların uygun doğrulanmaması, kötü niyetli para çekme isteklerinin oluşturulmasına izin verdi.
Sömürü, özellikle yeni blockchain ekosistemlerinde DeFi’de devam eden riskleri vurgulamaktadır. Nemo’nun mimari tasarımı getiri ticaretinde yenilik yapmayı hedeflemiş ancak yeterli koruma katmanlarından yoksundu. Sonrası analizler, sıkı kod denetimlerinin ve anormal işlem desenlerini işaretleyebilen gerçek zamanlı izleme sistemlerinin uygulanmamasından kaynaklanan eksiklikleri göstermektedir.
Cevap ve Önleme
Nemo geliştirme ekibi tüm protokol operasyonlarını durdurdu ve kalan zincir üstü varlıkları dondurdu. Akıllı sözleşme mantığını yükseltmek, sıkı erişim kontrolleri uygulamak ve sürekli güvenlik izleme sistemleri kurmak için acil yönetişim önerileri hazırlanıyor. Ek güvenlik açıklarını tespit etmek amacıyla beyaz şapkalı bir program başlatılmaktadır.
Sektör Etkileri
DeFi benimsenmesi artarken, yeni protokoller kullanıcı güvenini korumak için güvenlik çerçevelerine öncelik vermelidir. Nemo sömürüsü, alternatif blockchain’lerde artan saldırılar listesine eklenmiş olup, güvenlik standartlarında zincirler arası işbirliğinin önemini ortaya koymaktadır. Paydaşlar, ortak güvenlik açıklamaları ve sektörel en iyi uygulamalar çağrısı yaparak DeFi ekosisteminin güçlendirilmesini talep etmektedir.
Kullanıcıların iyileştirme güncellemeleri için protokol yönetişim kanallarını takip etmeleri ve yeni ekosistemlere sermaye yatırırken dikkatli olmaları önerilmektedir. Nemo’nun kurtarma planı ve topluluk tepkisi, bir sonraki nesil DeFi mimarilerinde risk yönetimi için vaka çalışmaları olarak hizmet edecektir.
Yorumlar (0)