Birkaç yıllık deneyime sahip deneyimli bir kripto yatırımcısı olarak, LI.FI protokolündeki en son istismarı duyduğumda hayal kırıklığı ve hayal kırıklığı yaşamaktan kendimi alamıyorum. Daha önce tespit edilen ve Mart 2022’de giderildiği varsayılan benzer bir güvenlik açığı nedeniyle 8 milyon dolardan fazla kullanıcı fonu çalınırken, tarihin tekerrür ettiğini görmek cesaret kırıcı.
Merkezi olmayan finans (DeFi) platformu LI.FI protokolünden yasa dışı bir şekilde 8 milyon doların üzerinde varlık alındı.
LI.FI zincirler arası işlem toplayıcının Cyvers Alerts tarafından tespit edilen bazı şüpheli işlemleri vardı.
LI.FI, 8 Milyon Dolarlık İstismarın Ardından Uyarı Verdi
“16 Temmuz’da LI.FI, X aracılığıyla sistemlerinde şüpheli bir güvenlik açığı olduğunu kabul etti ve kullanıcıları şimdilik LI.FI tarafından desteklenen uygulamalarla etkileşime girmemeye çağırdı. Bu sorunun yalnızca manuel olarak sonsuz onay ayarlayanları etkilediği açıklandı. Bu, bu işlemi yapmayan kullanıcıların risk altında olmadığı anlamına geliyor.”
Lütfen şimdilik herhangi bir güçlü uygulamayla etkileşimde bulunmayın!
Potansiyel bir istismarı araştırıyoruz. Sonsuz onay ayarlamadıysanız risk altında değilsiniz.
Yalnızca sonsuz onayları manuel olarak ayarlayan kullanıcıların etkilendiği görülüyor.
Tümünü iptal et…
— LI.FI (@lifiprotocol) 16 Temmuz 2024
Cybers Alerts’in raporuna göre, önemli bir kısmı stabilcoinler olmak üzere 8 milyon doların üzerinde kullanıcı fonu çalındı. Zincir içi bilgilere göre hırsızın cüzdanında USDC, USDT ve DAI stabilcoinlerinin yanı sıra yaklaşık 5,8 milyon dolar değerinde yaklaşık 1.715 Ether (ETH) bulunuyor.
ALERT@lifiprotocol, Sistemimiz,
ile ilgili şüpheli işlemleri bildirdi
Kullanıcıların şu onayları iptal etmelerini öneririz: 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
Şu ana kadar kullanıcılardan ve çoğunlukla stablecoin’lerden 8 milyon dolardan fazla para çekildi!…
— Cyvers Alerts (@CyversAlerts) 16 Temmuz 2024
Sorumlu bir kripto yatırımcısı olarak Cyvers Alerts’in uyarısını dikkate alacağım ve devam eden saldırıyla ilgili tüm yetkileri derhal iptal edeceğim. Kötü niyetli aktör şu anda USDC ve USDT’yi ETH ile değiştiriyor, dolayısıyla bu eylemi gerçekleştirmek potansiyel olarak bu duruma maruz kalmamı sınırlayabilir.
Kripto güvenliği konusunda uzmanlaşmış bir firma olan Decurity, son zamanlarda yaşanan istismar olayına ışık tuttu. Bunun LI.FI köprüsü etrafında yoğunlaştığını ortaya çıkardılar ve sebebini, GasZipFacet’in yalnızca beş günlük olan “depositToGasZipERC20” işlevindeki potansiyel bir güvenlik açığı olarak gösterdiler.
Daha basit bir ifadeyle, yönlendiriciler ve zincirler arası takaslarla ilgili potansiyel tehlikeler öncelikle token onayları etrafında dönüyor. Yerel Ethereum (ETH) gibi paketlenmemiş tokenler onay seçeneği sunmuyor, bu da onları bilgisayar korsanlığı saldırılarına karşı daha az savunmasız hale getiriyor. Daha önce akıllı sözleşmelere herhangi bir miktarda tokenın kaldırılması konusunda tam kontrol sağlayan sonsuz onay uygulaması artık kullanıcılar ve cüzdanlar tarafından büyük ölçüde terk edildi. Bu nedenle, belirli sözleşmelerle etkileşimde bulunmak için onayladığınız belirli tokenlar hakkında bilgi sahibi olmanız çok önemlidir.
Kripto alanındaki kapsamlı deneyimime ve çeşitli cüzdanlar ve işlem izleme araçlarıyla çalışmama dayanarak, bu kontrol panelinin tüm kullanıcılar için Lifi adı verilen belirli bir varlık veya protokolü içeren işlemleri tanımlamak üzere tasarlandığını söyleyebilirim. Bu işlemlerin her biri risk teşkil etmese de Metamask köprülerinin Binance Akıllı Zincir (BSC) üzerindeki Lifi’yi nasıl kullandığı gibi entegrasyonlar ve teknoloji katmanlarının, kullanıcıların varlıklarını yönetme ve potansiyel olarak risk altındalar.
Flipside Crypto’da Veri Bilimcisi olan Carlos Mercado tarafından önerilen bir diğer güvenlik önlemi, önceden onay alınmadan periyodik olarak yeni kripto para birimi adresleri oluşturmaktır. Tokenlarınızı yeni oluşturulan bir adrese aktararak dijital cüzdanınıza ek bir güvenlik katmanı uyguluyorsunuz.
En Son Exploit Mirror’lar Mart 2022 Saldırısı
PeckShield’ın daha derin incelemesi, belirlenen güvenlik açığının, LI.FI protokolüne yönelik 20 Mart 2022’de gerçekleştirilen daha önceki bir saldırıya benzerlik taşıdığını ortaya çıkardı. Önceki bu olayda, kötü niyetli bir aktör, takas işlevselliğine odaklanarak LI.FI’nin akıllı sözleşmesinden başarıyla yararlandı. Çalınan varlıkları köprüleme yoluyla başka bir blok zincirine aktarmadan önce.
Bir saldırgan, sistemi kandırarak token sözleşmelerini doğrudan kendi sözleşmeleri aracılığıyla yürütmesini sağlamanın bir yolunu buldu ve kullanıcıları sınırsız onayla potansiyel zarara maruz bıraktı. Bu aldatmaca, 29 cüzdandan yaklaşık 205 Ether’in çalınmasına yol açarak USDC, MATIC, RPL, GNO, USDT, MVI, AUDIO, AAVE, JRT ve DAI gibi çeşitli tokenları etkiledi.
Tecrübeli bir kripto yatırımcısı olarak, mevcut durum ile geçmişteki olaylar arasındaki benzerlikler üzerinde düşünmeden duramıyorum. PeckShield’ın son uyarısına göre tespit ettikleri hata çarpıcı derecede tanıdık. Peki geçmiş deneyimlerimizden gerçekten ders aldık mı?
2022 olayından sonra LI.FI, iyileştirmeler üzerinde çalışmak ve gelecekteki zayıflıkları önlemek için akıllı sözleşmelerindeki tüm takas işlevlerini geçici olarak durdurdu. Ancak başka bir benzer istismarın ortaya çıkması, platformun güvenlik protokolleri hakkında şüphe uyandırıyor ve önceki saldırı sırasında ortaya çıkan güvenlik açıklarını gidermek için yeterli tedbirlerin uygulanıp uygulanmadığı konusunda soru işaretleri yaratıyor.
LI.FI, kullanıcıların birden fazla blockchain ağı, pazar yeri ve birlikte çalışabilirlik çözümü üzerinde işlem yapmalarını sağlayan birleşik bir platform olarak işlev görür.
- 2024’te Dikkate Alınacak En İyi 10 Temel Cüzdan
- Bugün Kripto Fiyatı (5 Kasım 2024): ABD Seçimi Bitcoin ve Altcoinleri Çekiyor mu?
2024-07-16 18:53