Deneyimli bir analist olarak bu olayı son derece endişe verici buluyorum. Geçmişte benzer saldırılara tanık olduğumdan, Dough Finance ihlalinden etkilenenler için hayal kırıklığı ve hayal kırıklığı yaşamaktan kendimi alamıyorum. ConnectorDeleverageParaswap sözleşmesi kapsamında doğrulanmamış çağrı verilerinin kullanılması, uygun güvenlik önlemleriyle önlenebilecek bir güvenlik açığının klasik bir örneğidir.
Dough Finance’in USDC’de yaklaşık 1,8 milyon dolarlık önemli bir kayıp yaşaması topluluk için hayal kırıklığı yaratan bir haber. Bu kayıp daha sonra daha sonraki saldırılar nedeniyle toplam 1,96 milyon doların üzerine çıktı. Bu olay birçok kullanıcının fonları konusunda tedirgin olmasına ve hizmetin güvenliğini sorgulamasına neden oldu.
Ne oldu?
Bir güvenlik analisti olarak CertiK’in uyarı raporlarını inceledim ve sorunun temel nedenini belirledim. Güvenlik açığının ConnectorDeleverageParaswap sözleşmesinden kaynaklandığı anlaşılıyor. Flaş kredi çağrıları sırasında bu sözleşme, çağrı verilerini doğrulamakta başarısız oldu ve saldırganlara kendi çıkarları için verileri değiştirme fırsatı verdi. Sözleşmedeki temel kusur, çağrı verileri üzerinde doğrulama kontrollerinin bulunmamasıydı, bu da verileri kötü niyetli kişilerin manipülasyonuna açık hale getiriyordu.
Bir siber saldırıyı araştıran bir araştırmacı olarak, Railgun soygunundan elde edilen haksız kazançlarla silahlanan kötü niyetli kişinin, çalınan ABD Doları Parasını (USDC) hızla Ethereum’a (ETH) dönüştürdüğünü keşfettim. Bu kurnazca manevra, çalınan fonların izini sürme ve kurtarma sürecini önemli ölçüde karmaşıklaştırdı.
İlk saldırının ardından saldırgan, Dough Finance’e yönelik saldırısına devam ederek 140.498 dolarlık ek kayıpla sonuçlandı ve toplam hasarı 1,96 milyon dolara çıkardı.
En çok kim etkilendi?
Bir kripto yatırımcısı olarak, en büyük zararın Dough Finance’in istismar edilen sözleşmesinde fonları tutulanlar olduğunu söyleyebilirim. Öte yandan Aave’ye bağlanan kullanıcılar ise saldırıdan herhangi bir havuza dokunmadığı için etkilenmedi.
Kullanıcılar Ne Yapmalı?
Kullanıcıların Dough Finance’te sahip oldukları fonları, özellikle de etkilenen sözleşmelerde bulunanları çekmeleri ve güvenlik açısından güvenli bir kişisel cüzdana aktarmaları önerilir.
2. Eylemler ve daha fazlası hakkında daha fazla talimat için Hamur Finansmanı ekibinin güncellemelerini takip edin.
Dikkatli bir analist olarak, ilgili yetkililer veya sektördeki güvenilir güvenlik uzmanları tarafından kesin olarak güvenli kabul edilene kadar Dough Finance protokolüne veya ilgili herhangi bir sözleşmeye dahil olmaktan uzak durmanızı tavsiye ederim.
Dough Finance ekibi şu anda ihlalin nedenini araştırıyor ve olası zararları sınırlamak için çalışıyor. Bu arada bireylerin son gelişmelerden resmi kanallar aracılığıyla haberdar olmaları ve varlıklarını korumaya yönelik adımlar atmaları öneriliyor.
Ayrıca Okuyun: Compound Labs Web Sitesi İhlali: Güvenlik Yeniden Sağlandı, Akıllı Sözleşmeler Güvenli
2024-07-12 14:22