Kripto ekosistemi genişledikçe maruz kaldığı saldırıların mali boyutu da doğru orantılı olarak artıyor. Özellikle DeFi girişimlerinin hacklenme haberlerini bu yıl fazlasıyla okuduk. Kripto para endüstrisinin şimdiye kadar gördüğü en maliyetli soygunlardan biri BadgerDAO sistemlerinde oldu. Peki bu saldırı nasıl oldu ve projenin kurtarma planı ne?
BadgerDAO Saldırısı
Protokol ekibi tarafından siber güvenlik firması Mandiant ile ortaklaşa yayınlanan bir “Teknik Otopsi” raporunda, 2 Aralık’ta meydana gelen kimlik avı olayının “Cloudflare Workers tarafından sağlanan kötü niyetli bir şekilde enjekte edilmiş bir snippet”in sonucu olduğu vurgulandı. Cloudflare, kullanıcıların “Cloudflare proxy’leri üzerinden akarken web trafiği üzerinde çalışan ve bunları değiştiren” komut dosyaları çalıştırmasını sağlayan bir arayüzdür.
Raporda ayrıca, saldırganın, Badger mühendislerinden başarılı bir şekilde kaçınma yoluyla oluşturduğu, güvenliği ihlal edilmiş bir API anahtarı aracılığıyla böyle bir komut dosyası dağıttığı da eklendi. Bu API erişimi, saldırganın/saldırganların, kullanıcı tabanının yalnızca bir alt kümesinin etkilenmesi için düzenli aralıklarla protokole kötü amaçlı kod eklemesine izin verdi.
Saldırının ilk teşhisi, saldırganların Badger kasalarıyla ilgilenen kullanıcılardan gizlice ekstra izinler isteyerek, kullanıcıların tokenlerini kendi adreslerine göndermek için onay aldıklarını açıklamıştı.
BadgerDAO‘nun analizine göre saldırı Ağustos-Eylül gibi erken bir tarihte başlamıştı. Cloudflare kullanıcıları ilk olarak, yetkisiz kullanıcıların hesap oluşturabildiğini ve ayrıca e-posta doğrulama sürecini tamamlamadan (Global) API anahtarları oluşturup görüntüleyebildiğini fark etmiş ve e-posta doğrulaması sonrasında saldırgana API erişimi verileceğini belirtmişti.
Badger, ağustos ve eylül aylarında bu tür üç hesabın oluşturulduğunu ve izinsiz olarak API anahtarları verildiğini tespit etti. Bu API erişimi, 10 Kasım’da saldırgan tarafından Cloudflare Workers aracılığıyla protokolün web sayfasına kötü amaçlı komut dosyaları eklemek için kullanıldı. Aynı web3 işlemleri engellendi ve kullanıcılardan cüzdanlarındaki ERC-20 tokenleri üzerinde yabancı bir adres onayına izin vermeleri istendi.
Siber güvenlik analisti şunları söyledi:
“Saldırgan, saldırılarında birkaç tespit önleme tekniği kullandı. Senaryoyu Kasım ayı boyunca, genellikle çok kısa sürelerle düzenli olarak uyguladılar ve kaldırdılar. Saldırgan ayrıca yalnızca belirli bir bakiyenin üzerindeki cüzdanları hedef aldı”.
Olayın uzun süre sonra anlaşılmış olması girişimlerin siber güvenlik konusundaki eksikliğini gözler önüne seriyor.
BadgerDAO Kurtarma Planı
Kayıpların toplam karşılığı 130 milyon doları aştı. Daha kötüsü ise bunun sadece 9 milyon dolarlık kısmı kurtarılabiliyor. Protokol, istismarcı tarafından aktarılan ancak henüz Badger kasalarından çekilmemiş olan bazı fonları kurtarmak için çalışıyor. Aynı zamanda Chainalaysis, Mandiant ve kripto borsalarının yanı sıra ABD ve Kanada’daki yetkililerle de temas halindeler.
Ek olarak Badger, protokolü yeniden başlatmadan önce tüm web2 ve web3 altyapısının üçüncü taraf denetimlerini tamamlayacak, ayrıca bir hack yarışması düzenleyerek hackerlardan sistemlerinde açık bulmalarını isteyecek. Bunun karşılığında onlara ödül verecek.
Kurtarma aşaması, akıllı sözleşmeleri yükseltmeyi amaçlayan BIP-76‘yı da içerir. Bu, kullanıcı fonlarının kurtarılmasına, duraklatma işlevselliğinin iyileştirilmesine ve kara listeye alma yoluyla ek güvenlik önlemleri alınmasına olanak tanır.