Ethereum üzerinde gizlilik odaklı ölçeklendirme çözümleri geliştiren Aztec Labs, kullanımdan kaldırılmış bir ödeme ürününde gerçekleşen ve yaklaşık 2 milyon dolarlık kayba yol açan bir güvenlik açığını araştırdığını duyurdu.
Blockchain güvenlik şirketi PeckShield, saldırının yaklaşık 2,165 milyon dolar değerinde kripto varlık tahliyesine neden olduğunu tahmin ediyor. Tahliye edilen varlıklar arasında 1.158 ETH, 150 bin DAI ve 0,47 renBTC bulunuyor. Şirketin paylaşımına göre saldırı, HitBTC kaynaklı 0,134 ETH ile fonlandı.
Dört günde ikinci saldırı
Bu olay, kullanımdan kaldırılan Aztec altyapısını hedef alan dört gün içindeki ikinci istismar girişimi oldu. Geçtiğimiz pazar günü, değişmez yapıdaki Aztec Connect akıllı kontratına yönelik ayrı bir saldırı gerçekleşmiş ve bu saldırıda da yaklaşık 2,1 milyon dolarlık varlık tahliye edilmişti.
Güvenlik araştırma firması BlockSec, son saldırının 14 Haziran'daki istismarla bağlantılı görünmesine karşın farklı bir giriş noktası üzerinden ayrı bir havuzu hedef aldığını belirtti. Firma, saldırganın zincir üstü doğrulama kontrollerini geçerken aynı zamanda varlık çekebilmesine imkân tanıyan bir doğrulama açığına işaret etti. BlockSec'in X platformundaki paylaşımına göre bu açık önceki saldırıdan farklı bir hata olsa da, her ikisi de devre genel girdi bağlama (circuit public input binding) sorunlarıyla ilişkili ve yürütme izleri birbirine benziyor.
Aztec Foundation, etkilenen ürün ile mevcut ağa veya AZTEC ERC20 token'ına bağlı akıllı kontratlar arasında herhangi bir bağlantı bulunmadığını vurguladı. İstismara uğrayan ürünün, dört yıl önce kullanımdan kaldırılmış değişmez (immutable) bir stage 2 rollup olduğu belirtildi.
Aztec Labs, bu kapsamda ekibin sistem üzerinde herhangi bir yönetici yetkisi veya kontrol mekanizmasına sahip olmadığını da hatırlattı; bu durum, 2022 yılında sonlandırılan söz konusu rollup'ın tamamen değişmez bir yapıda kalmasından kaynaklanıyor.
DeFi'de zorlu bir dönem
Bu son olay, DeFi sektörünün son dönemde yaşadığı en ağır güvenlik krizlerinden birine eklendi. Yapay zeka destekli saldırı tekniklerindeki gelişmelerle birlikte, 30'dan fazla protokol toplamda 600 milyon doları aşan kayıplara uğradı. Bu kayıpların başında, Kelp DAO'da gerçekleşen ve 292 milyon dolarlık zarara yol açan istismar geliyor.
Piyasanın zaten akıllı kontrat platformları, köprüler ve merkeziyetsiz finans protokollerine yönelik artan sayıda güvenlik ihlaliyle başa çıkmaya çalıştığı bir dönemde gerçekleşen bu olay, kripto topluluğunda hayal kırıklığı yarattı. Özellikle zincirler arası köprüler ve rollup yapıları, üzerlerinde barındırdıkları yüksek miktarda kilitli likidite nedeniyle saldırganlar için cazip hedefler olmayı sürdürüyor.
Bir hafta önce yaşanan saldırının ardından bu yeni olayın gelmesi, kullanıcılar arasında güvenlik açıklarının tesadüfi değil sistemik bir sorun olabileceği yönünde kaygıları artırdı. Tekrarlanan güvenlik ihlalleri, tek seferlik bir istismardan çok daha fazla güven kaybına yol açabiliyor ve bu durum DeFi sektörünün itibarına yeni bir darbe vuruyor.
