Kripto para ekosisteminde son günlerde art arda yaşanan güvenlik olayları, saldırı yöntemlerinin yalnızca akıllı sözleşme hatalarıyla sınırlı kalmadığını bir kez daha ortaya koydu. Aztec, Taiko, Labubu ve Ethereum ekosistemindeki bir MEV operatörünü etkileyen vakalar, protokol tasarımı, otomasyon mantığı ve zincirler arası doğrulama katmanlarının yeni risk alanları haline geldiğini gösterdi.
Aztec ve Taiko cephesindeki kayıplar
En dikkat çeken olaylardan biri Aztec tarafında yaşandı. Proje, üç gün içinde iki ayrı saldırıyla karşı karşıya kaldı. Son olayda, protokolün escape hatch mekanizmasındaki sorun nedeniyle Private Rollup Bridge üzerinden yaklaşık 2,5 milyon dolar kayıp oluştu. Bundan kısa süre önce ortaya çıkan ilk güvenlik açığının ise işlem sayıları ile taahhüt edilen rollup verileri arasındaki uyumsuzluktan kaynaklandığı aktarıldı.
Mini sözlük: Rollup, işlemleri ana zincirin dışında gruplayıp daha sonra toplu halde zincire yazan ikinci katman ölçekleme yapısıdır. Zero knowledge tabanlı sistemlerde doğrulamanın bir bölümü zincir dışında yürüdüğü için zincir içi ve zincir dışı kontroller arasındaki uyum kritik önem taşır.
Art arda yaşanan olaylar, giderek karmaşık hale gelen ikinci katman ve zero knowledge mimarilerinde güvenliğin korunmasının zorlaştığını, açıkların özellikle zincir içi ve zincir dışı doğrulama sistemlerinin kesişiminde ortaya çıkabildiğini gösterdi.
Taiko da benzer biçimde zincir durumu doğrulama sistemlerini etkileyen bir ihlali duyurdu. Olayın yaklaşık 1 milyon dolarlık kayba yol açtığı, bunun ardından kullanıcıların etkilenen köprülerden varlıklarını hızla çekmeye yöneldiği belirtildi. Taiko, Ethereum için geliştirilen bir ikinci katman ağı olarak biliniyor ve özellikle Ethereum ile uyumlu yapısıyla öne çıkıyor.
| Proje | Olayın türü | Kayıp |
|---|---|---|
| Aztec | Escape hatch ve rollup veri uyumsuzluğu | Yaklaşık 2,5 milyon dolar |
| Taiko | Zincir durumu doğrulama sisteminin ihlali | Yaklaşık 1 milyon dolar |
MEV botu ve BNB Chain üzerindeki şüpheli olay
Ethereum ekosisteminde tanınan MEV operatörlerinden jaredfromsubway.eth de alışılmışın dışında bir saldırının hedefi oldu. Saldırganın, doğrudan klasik bir akıllı sözleşme açığından yararlanmak yerine botun otomatik işlem mantığını yanılttığı belirtildi. Sahte wrapped varlıklar ve yanıltıcı likidite havuzları kullanılarak sisteme kar getiren bir sandwich fırsatı varmış izlenimi verildi. Ardından botun verdiği izinler sayesinde yaklaşık 15 milyon dolarlık varlığın çalındığı kaydedildi.
Mini sözlük: MEV, bloklara hangi işlemlerin hangi sırayla gireceğini etkileyerek ek kazanç elde etme yöntemlerini ifade eder. Sandwich işlemi ise bir kullanıcının alım satım emrinin önüne ve arkasına işlem yerleştirilerek fiyat farkından yararlanılması anlamına gelir.
Bu olayda saldırgan, geleneksel bir sözleşme açığını kullanmak yerine botun otomatik alım satım mantığını değiştirerek sistemi karlı bir fırsat olduğuna inandırdı.
BNB Chain üzerindeki Labubu projesinde ise yaklaşık 1,15 milyon dolarlık kayıp yaşandı. Olayın, şüpheli bir token parametresi değişikliği sonrası havuz dengesinin ciddi biçimde bozulmasıyla bağlantılı olduğu aktarıldı. Saldırıdan hemen önce sahiplik yapısında değişiklikler görülmesi nedeniyle, olayda dış saldırgandan çok içeriden bir bağlantı bulunabileceğine dair değerlendirmeler öne çıktı.
Tehditlerin yapısı değişiyor
Bu vakalar birlikte ele alındığında, kripto güvenliğinde risklerin artık basit kodlama hatalarının ötesine geçtiği görülüyor. Saldırganların operasyonel zafiyetleri, otomatik stratejileri, sistemler arası etkileşimleri ve protokol tasarımındaki varsayımları daha sık hedef aldığı anlaşılıyor.
Özellikle ikinci katman çözümleri, köprüler, doğrulama sistemleri ve otomatik alım satım altyapıları birbirine bağlandıkça savunma süreci daha karmaşık hale geliyor. Bu tablo, blokzincir altyapısının büyüyen teknik yapısı içinde güvenliğin yalnızca kod denetimiyle sağlanamayacağını, sistem bütünlüğünün her katmanda ayrıca sınanması gerektiğini ortaya koyuyor.
