Kripto para dünyasını hedef alan hack saldırılarına bir yenisi daha eklendi. Kısa süre önce Certik’in kod denetiminden geçen ve zkSync’yi kullanan merkeziyetsiz kripto para borsası Merlin‘in hack saldırısına uğradığı açıklandı. Saldırıda en az 1.82 milyon dolarlık fon çalındı. Blockchain güvenlik şirketi Certik, ilk bulgularının hack saldırısının özel anahtar kullanımıyla ilgili bir soruna işaret ettiğini bildirdi. zkSync’yi kullanan bir başka merkeziyetsiz kripto para borsası olan eZKalibur’un Merlin’in akıllı sözleşmesinde hack saldırısına kapı aralayan bir kod tespit edildiğini öne sürmesi ise kafaların karıştırdı.
Certik’e Göre Saldırı Özel Anahtar Kullanımıyla Gerçekleştirildi
zkSync’yi kullanan merkeziyetsiz kripto para borsası Merlin, Blockchain güvenlik şirketi Certik’in kod denetiminden geçmesinin hemen ardından 1.82 milyon doların üzerinde fonun çalınmasıyla sonuçlanan bir hack saldırısının kurbanı oldu.
Certik, saldırıyı araştırdığını ve ilk bulgularının özel anahtar kullanımıyla ilgili potansiyel sorundan kaynaklandığını, kodlar aracılığıyla gerçekleştirilen bir hack saldırısının söz konusu olmadığını açıkladı. Blockchain güvenlik şirketinden yapılan açıklamada “Kod denetimleri özel anahtar sorunlarının önüne geçemiyor olsa da projelere her zaman en iyi uygulamaların yapılmasını sağlıyoruz. Herhangi bir sorun tespit edilirse yetkililerle birlikte çalışacak ve ilgili bilgileri paylaşacağız. Yapılacak bilgilendirmeler için bizi izlemeye devam edin.” notunu düştü.
Saldırının ardından açıklama yapan Merlin geliştiricileri, kullanıcılardan web sitesine bağlı cüzdan adresi izinlerini iptal etmelerini istedi.
eZKalibur’un Yaptığı Açıklama Kafaları Karıştırdı
Merlin gibi Camelot’un akıllı sözleşmesinin bir kısmını fork’layarak oluşturulan ve zkSync’yi kullanan merkeziyetsiz kripto para borsası ve bir launchpad olan eZKalibur, Merlin’deki fonların boşaltılmasının nedeninin özen anahtar kullanımı değil kodlardaki bir güvenlik açığından kaynaklandığını iddia etti.
eZKalibur, Certik’in kod denetiminin kalitesini sorgularken, “Başlatma işlevindeki iki kod satırı, feeTo adresine sözleşmenin adresinden sınırsız (type(uint256).max) miktarda token0 ve token1 transfer etmesi için onay veriyor. Bu durumda, feeTo adresi fonları sözleşmenin cüzdan adresinden kendi cüzdana dresine aktarmak için ilgili fonlar üzerinde transferFrom işlevini kullanabilir.” dedi.