Onyx Protokolü’ne 3,8 Milyon Dolarlık Siber Saldırı: DeFi Protokolleri Güvende mi?

Compound Finance’in bir fork’u olan Onyx Protokolü, Perşembe günü 3,8 milyon dolarlık bir kayıp yaşadı. Bu zarar, kötü niyetli aktörlerin sistem zafiyetlerini keşfedip bir saldırı serisine başlaması ile oldu.

Siber saldırılar kripto para dünyasını sarsmaya devam ediyor. Peki, bu durum DeFi protokollerinin güvenli olmadığını mı gösteriyor?

Onyx Protokolü’ne 3,8 Milyon Dolarlık Saldırı

Blockchain güvenlik firması PeckShield, OnyxDAO’da şüpheli işlemleri vurgulayarak protokole muhtemel bir saldırıya dikkat çekti. Takip eden gönderide, zincir üstü dedektif, kayıpların 3,8 milyon dolara ulaştığını belirterek , hacker’ın fonları zaten trade etmekte olduğunu açıkladı.

Onyx Protokolü Saldırısı. Kaynak: PeckShield

Bir Web3 güvenlik firması olan Cyvers , Ethereum blockchain’i OnyxDAO ile ilgili şüpheli işlemleri doğruladı. Cyvers’a göre, kaybın çoğu VUSD stablecoin’indeydi.

“Sistemimiz, ETH zincirinde OnyxDAO ile ilgili şüpheli bir işlem tespit etti! Toplam kayıp yaklaşık 3.2 milyon dolar [o sırada]. Kayıpların çoğu VUSD’de. Saldırgan şu anda 521 ETH (1.36 milyon dolar) tutuyor. Diğer dijital varlıklar henüz takas edilmedi,” diye belirtiyor Cyvers yazdı .

Daha fazla oku:  Kripto Proje Güvenliği: Erken Tehdit Tespiti Rehberi

PeckShield tarafından yapılan ek araştırmalar, saldırganın çatallanmış (forked) Compound V2 kod tabanındaki bilinen bir hassasiyet sorununu, bir hata olarak sunarak kullanarak 4.1 milyon VUSD, 7.35 milyon XCN, 5,000 DAI, 0.23 WBTC ve 50,000 USDT çaldığını ortaya çıkardı . Raporlara göre, hata neredeyse boş bir piyasayı manipüle etmek için kullanıldı.

Özellikle, hacker’lar Ekim 2023’te aynı protokolü 2.1 milyon dolarlık bir saldırıyla hacklediler. Ekim olayında, zafiyet bir yuvarlama hatasıydı. O zamanlar, araştırmacılar bu zafiyeti Onyx Protokolü’nün Compound Finance’in bir fork’u olmasına bağladılar.

Kod Zafiyeti Nasıl Meydana Gelir?

Birçok DeFi protokolü açık kaynaklı olduğundan, geliştiriciler uzun yoldan kaçınmayı tercih ederler. Var olan bir kod üzerine kurarak işlevselliği sıfırdan uygulamaktansa bu yolu seçerler.

Bu yaklaşım, doğru yapıldığında verimliliği ve güvenliği artırabilir. Ancak dezavantajı, şablon kod güvenli değilse, fork zafiyetleri miras alabilir.

“Onyx protokolü durumunda, kullandığı Compound Finance kodu, Hundred Finance ve Midas Capital tarafından da çatallanan Compound Finance kodunda daha önce sömürülen bilinen bir zafiyete sahipti. Ancak Onyx Protokolü aynı kodu kullandı ve zafiyetin sömürülmesini önlemek için gerekli topluluk desteği ve dikkati göstermedi,” diye belirtiyor güvenlik firması Halborn raporunda .

Bu, Onyx Protokolü saldırısının, yuvarlama hatalarının yaygın olduğu göz önüne alındığında, önlenebilir olduğu anlamına gelir. Özellikle, Compound Finance ve çatallarında yeni pazarlar başlatılırken zaten bir rehberlik mevcuttur.

“Hexagate olarak, herhangi bir Compound V2 fork’u (yazılımın yeni bir sürümü), yeni pazarlar başlatırken, toplam arzın asla sıfıra inmemesini sağlamak için bazı cToken’lar basıp yakmalarını öneriyoruz. Toplam arz sıfıra indiğinde, protokol savunmasız hale gelir ve bu strateji bu durumu hafifletir,” diye yönlendiriyor güvenlik firması Hexgate Nisan 2023’te .

Daha fazla oku:  Compound Finance Nedir?

Bu olaylar, Çarşamba günü merkeziyetsiz altyapı Truflation’a yapılan 4.6 milyon dolarlık saldırı da dahil olmak üzere, kötü niyetli aktörlerin farklı mekanizmalar kullanarak dijital varlıkları çaldığı kripto para endüstrisindeki yaygın zorluğu yansıtıyor.