Geçen yılın Şubat ayında bir hırsız 320 milyon dolar değerinde kripto para çaldı. Bir yıl sonra yine ganimetten kurtuldu: Bir İngiliz mahkemesinin emriyle akıllı sözleşmenin kodu yeniden programlandı. Bu, kurbanın jetonlarını ve hatta birkaçını geri almasına izin verdi.
Hikaye Şubat 2022’de başlıyor: Bilinmeyen bir kişi, blok zinciri köprüsü Wormhole’daki ve belirli akıllı sözleşmelerin tasarımındaki bir hatadan yararlanarak 120.000 birim kripto para birimi Ethereum’u blok zinciri Solana’ya birdenbire girdi. Sonra yeni madeni paralarını temizledi. O zaman, solucan deliği operatörü Jump Crypto’nun zararı 320 milyon ABD dolarından fazlaydı. Bu, bugüne kadar bilinen en büyük kripto saldırılarından biridir. (Bir kripto köprüsü, yeni paralar oluşturmak için değil, farklı blok zincirleri arasındaki işlemlere izin vermek için tasarlanmıştır.)
Ancak hırsız, ganimetini gerçek parayla değiştirmeye çalışmadı. Bunun yerine, kripto paralarını biraz hareket ettirdi ve ardından neredeyse bir yıl boyunca onları bıraktı. Ancak 2023’ün başında işler yeniden hareket etmeye başladı. Fail, ganimeti kripto para birimleri üzerine büyük bahisler yapmak için kullandı. Bu girişimler sırasında madeni paralarını Oasis Protokolünün Kasası olarak adlandırılan iki kasaya yerleştirdi. Bu protokol, işletilen İngiliz şirketi Oaza Apps Ltd. tarafından sağlanmaktadır. Kasalar bir tür hesaptır ve sözde üçüncü taraf kontrolünden bağımsızdır.
Ölümcül akıllı sözleşme
Solucan deliği faili, oraya yatırdığı kripto paraları DAI para biriminin stablecoin’lerinde bir kredi için teminat olarak kullandı – böylece kripto paraların fiyatlarının yükseleceğine dair bir iddiaya girdi. Aynı zamanda, sözde zararı durdur emirleri verdi. Buradaki fikir, seçilen fiyatlar belirli eşiklere ulaştığında – fiyatlar daha da kötüye gitmeden önce – otomatik olarak satış yaparak kayıpları sınırlamaktır. Bu, Oasis’te en kötü ihtimalle otomatik olarak devreye giren sözde akıllı sözleşmeler tarafından uygulanmaktadır.
Akıllı sözleşmeler, kaynak kodu genellikle katılımcılar tarafından görülebilen yazılımlara dayalıdır. Doğaları gereği, akıllı sözleşmeler bir kez kapatıldığında değişmezdir; ancak böcekler nedeniyle bu, ağlamaya, diş gıcırdamasına ve milyonlarca kayıplara neden oldu. Bu nedenle, değişken akıllı sözleşmeler daha yaygın hale geliyor. Buna solucan deliği suçlusu tarafından kullanılan stop-stop emirleri de dahildir.
Bu akıllı sözleşmelerin on iki anahtarı vardır; Yazılım güncellemeleri bu on iki tuştan dördü ile onaylanmalıdır. Güncellemelerin ancak 30 dakika sonra devreye girmesi de planlanıyor – eğer çok dikkat ederseniz akıllı sözleşmenin yeni kodu yürürlüğe girmeden önce kripto değerlerinizi çıkarabilmelisiniz.
Tersine hırsızlık böyle gitti
21 Şubat 2023’te, Zararı Durdur Akıllı Sözleşmelerine iki saatten daha kısa bir süre için başka bir anahtar eklendi. Bu süre zarfında akıllı sözleşmelerin program kodu yeniden yazıldı ve bazı işlemler tetiklendi. Bu, iki kasada biriken ganimet paralarının tamamen farklı bir kasada sona ermesiyle sonuçlandı. Bu muhtemelen solucan deliği operatörü Jump Crypto veya bir mütevelli tarafından kontrol ediliyor.
Jump, fail tarafından alınan DAI kredisini derhal geri ödedi, böylece Oasis protokolünün operatörünün hiçbir maddi zararı olmadı. Yeniden ele geçirilen 137.537 Ethereum parası, failin geçen yıl birdenbire ürettiği ve ardından Jump Crypto’yu değiştirmek zorunda kaldığından 17.500 Ethereum daha fazla. Ancak bu arada Ethereum fiyatı önemli ölçüde düştü. DAI kredisini çıkardıktan sonra Jump Crypto, yaklaşık 140 milyon dolar değerinde kripto paraları kurtarmış olmalıydı ki bu, bir önceki yılın zararının yarısı bile değil. İki saatten kısa bir süre sonra akıllı sözleşmenin ek anahtarı tekrar silindi.
Sorumlular başlangıçta bu süreçleri açıklamadı. Ancak, kod değişiklikleri ve işlemler herkes tarafından görülebildiği için gerçekten gizli değillerdi. Süreçleri detaylı bir şekilde anlatan Blockworks Research operatörleri her şeyi fark etti.
Haberin Sonu
Hikaye Şubat 2022’de başlıyor: Bilinmeyen bir kişi, blok zinciri köprüsü Wormhole’daki ve belirli akıllı sözleşmelerin tasarımındaki bir hatadan yararlanarak 120.000 birim kripto para birimi Ethereum’u blok zinciri Solana’ya birdenbire girdi. Sonra yeni madeni paralarını temizledi. O zaman, solucan deliği operatörü Jump Crypto’nun zararı 320 milyon ABD dolarından fazlaydı. Bu, bugüne kadar bilinen en büyük kripto saldırılarından biridir. (Bir kripto köprüsü, yeni paralar oluşturmak için değil, farklı blok zincirleri arasındaki işlemlere izin vermek için tasarlanmıştır.)
Ancak hırsız, ganimetini gerçek parayla değiştirmeye çalışmadı. Bunun yerine, kripto paralarını biraz hareket ettirdi ve ardından neredeyse bir yıl boyunca onları bıraktı. Ancak 2023’ün başında işler yeniden hareket etmeye başladı. Fail, ganimeti kripto para birimleri üzerine büyük bahisler yapmak için kullandı. Bu girişimler sırasında madeni paralarını Oasis Protokolünün Kasası olarak adlandırılan iki kasaya yerleştirdi. Bu protokol, işletilen İngiliz şirketi Oaza Apps Ltd. tarafından sağlanmaktadır. Kasalar bir tür hesaptır ve sözde üçüncü taraf kontrolünden bağımsızdır.
Ölümcül akıllı sözleşme
Solucan deliği faili, oraya yatırdığı kripto paraları DAI para biriminin stablecoin’lerinde bir kredi için teminat olarak kullandı – böylece kripto paraların fiyatlarının yükseleceğine dair bir iddiaya girdi. Aynı zamanda, sözde zararı durdur emirleri verdi. Buradaki fikir, seçilen fiyatlar belirli eşiklere ulaştığında – fiyatlar daha da kötüye gitmeden önce – otomatik olarak satış yaparak kayıpları sınırlamaktır. Bu, Oasis’te en kötü ihtimalle otomatik olarak devreye giren sözde akıllı sözleşmeler tarafından uygulanmaktadır.
Akıllı sözleşmeler, kaynak kodu genellikle katılımcılar tarafından görülebilen yazılımlara dayalıdır. Doğaları gereği, akıllı sözleşmeler bir kez kapatıldığında değişmezdir; ancak böcekler nedeniyle bu, ağlamaya, diş gıcırdamasına ve milyonlarca kayıplara neden oldu. Bu nedenle, değişken akıllı sözleşmeler daha yaygın hale geliyor. Buna solucan deliği suçlusu tarafından kullanılan stop-stop emirleri de dahildir.
Bu akıllı sözleşmelerin on iki anahtarı vardır; Yazılım güncellemeleri bu on iki tuştan dördü ile onaylanmalıdır. Güncellemelerin ancak 30 dakika sonra devreye girmesi de planlanıyor – eğer çok dikkat ederseniz akıllı sözleşmenin yeni kodu yürürlüğe girmeden önce kripto değerlerinizi çıkarabilmelisiniz.
Tersine hırsızlık böyle gitti
21 Şubat 2023’te, Zararı Durdur Akıllı Sözleşmelerine iki saatten daha kısa bir süre için başka bir anahtar eklendi. Bu süre zarfında akıllı sözleşmelerin program kodu yeniden yazıldı ve bazı işlemler tetiklendi. Bu, iki kasada biriken ganimet paralarının tamamen farklı bir kasada sona ermesiyle sonuçlandı. Bu muhtemelen solucan deliği operatörü Jump Crypto veya bir mütevelli tarafından kontrol ediliyor.
Jump, fail tarafından alınan DAI kredisini derhal geri ödedi, böylece Oasis protokolünün operatörünün hiçbir maddi zararı olmadı. Yeniden ele geçirilen 137.537 Ethereum parası, failin geçen yıl birdenbire ürettiği ve ardından Jump Crypto’yu değiştirmek zorunda kaldığından 17.500 Ethereum daha fazla. Ancak bu arada Ethereum fiyatı önemli ölçüde düştü. DAI kredisini çıkardıktan sonra Jump Crypto, yaklaşık 140 milyon dolar değerinde kripto paraları kurtarmış olmalıydı ki bu, bir önceki yılın zararının yarısı bile değil. İki saatten kısa bir süre sonra akıllı sözleşmenin ek anahtarı tekrar silindi.
Sorumlular başlangıçta bu süreçleri açıklamadı. Ancak, kod değişiklikleri ve işlemler herkes tarafından görülebildiği için gerçekten gizli değillerdi. Süreçleri detaylı bir şekilde anlatan Blockworks Research operatörleri her şeyi fark etti.
Haberin Sonu