Geçen yılın Şubat ayında bir hırsız 320 milyon dolar değerinde kripto para çaldı. Bir yıl sonra yine ganimetten kurtuldu: Bir İngiliz mahkemesinin emriyle akıllı sözleşmenin kodu yeniden programlandı. Bu, kurbanın jetonlarını ve hatta birkaçını geri almasına izin verdi.
Hikaye Şubat 2022’de başlıyor: Bir yabancı, Wormhole blok zinciri köprüsündeki ve bazı akıllı sözleşmelerin tasarımındaki bir hatayı kullanarak 120.000 adet Ethereum kripto para biriminin birdenbire Solana blok zincirine girmesine izin veriyor. Sonra yeni madeni paralarını temizledi. O sırada, solucan deliği operatörü Jump Crypto’nun zararı 320 milyon ABD dolarından fazlaydı. Bu, bugüne kadar bilinen en büyük kripto saldırılarından biridir. (Bir kripto köprüsü, yeni paralar oluşturmak için değil, farklı blok zincirleri arasındaki işlemlere izin vermek içindir.)
Ancak hırsız, ganimetini gerçek parayla değiştirmek için hiçbir girişimde bulunmadı. Bunun yerine, bir süre kripto para birimlerini hareket ettirdi, ardından yaklaşık bir yıl boyunca onları bıraktı. 2023’ün başlarına kadar işler yeniden hareket etmeye başladı. Fail, ganimeti kripto para birimleri üzerine büyük bahisler yapmak için kullandı. Bu istismarlar sırasında, madeni paralarını Oasis Protokolünün Mahzenleri adı verilen iki sözde kasaya yerleştirdi. Bu protokol, işletilen İngiliz şirketi Oaza Apps Ltd. tarafından sağlanmaktadır. Kasalar bir tür hesaptır ve muhtemelen üçüncü taraf kontrolünden bağımsızdır.
Ölümcül akıllı sözleşme
Solucan deliği yazarı, oraya yatırdığı kripto para birimlerini DAI para biriminin sabit para kredisi için teminat olarak kullandı – ardından kripto para birimlerinin artan fiyatları üzerine bahse girdi. Aynı zamanda, zararı durdur emri verdi. Buradaki fikir, seçilen fiyatlar belirli eşiklere ulaştığında, fiyatlar daha fazla bozulmadan önce otomatik olarak satış yaparak kayıpları sınırlamaktır. Bu, Oasis’te en kötü ihtimalle otomatik olarak devreye giren sözde akıllı sözleşmeler tarafından uygulanmaktadır.
Akıllı sözleşmeler, kaynak kodu genellikle katılımcılar tarafından görülebilen yazılımlara dayalıdır. Doğaları gereği, akıllı sözleşmeler bir kez kapatıldığında değişmezdir; ancak böcekler nedeniyle bu durum ağlamaya, diş gıcırdatmalarına ve milyonlarca kayıplara yol açmıştır. Bu nedenle, değişken akıllı sözleşmeler daha yaygın hale geliyor. Buna solucan deliği suçlusu tarafından kullanılan stop-stop emirleri de dahildir.
Bu akıllı sözleşmelerin on iki anahtarı vardır; Yazılım güncellemeleri bu on iki tuştan dördü ile onaylanmalıdır. Güncellemelerin de ancak 30 dakika sonra devreye girmesi bekleniyor – eğer çok dikkat ederseniz yeni akıllı sözleşme kodu yürürlüğe girmeden önce kripto değerlerinizi alabilmeniz gerekiyor.
İşte ters hırsızlık nasıl gitti
21 Şubat 2023 tarihinde, Zararı Durdur Akıllı Sözleşmelerine iki saatten daha kısa bir süre için bir anahtar daha eklendi. Bu süre zarfında akıllı sözleşme program kodu yeniden yazıldı ve bazı işlemler tetiklendi. Bu, iki kasada biriken ganimet paralarının tamamen farklı bir kasada sona ermesiyle sonuçlandı. Bu muhtemelen solucan deliği operatörü Jump Crypto veya bir mütevelli tarafından kontrol ediliyor.
Jump, suçlunun DAI kredisini derhal geri ödedi, böylece Oasis protokolünün operatörü herhangi bir mali zarar görmeyecek. Çalınan 137.537 Ethereum parası, failin geçen yıl hiç yoktan ürettiğinden 17.500 daha fazla Ethereum ve ardından Jump Crypto’yu değiştirmek zorunda kaldı. Ancak bu arada Ethereum’un fiyatı önemli ölçüde düştü. DAI kredisini çıkardıktan sonra, Jump Crypto’nun yaklaşık 140 milyon dolar değerinde kripto parayı kurtarması bekleniyordu ki bu, önceki yıla göre verilen hasarın yarısı bile değil. İki saatten kısa bir süre sonra akıllı sözleşme eklenti anahtarı tekrar silindi.
Sorumlular başlangıçta bu süreçleri açıklamadı. Ancak, kod değişiklikleri ve işlemler herkes tarafından görülebildiği için gerçekten gizli değillerdi. Süreçleri detaylı bir şekilde anlatan Blockworks Research operatörleri her şeyi fark etmiş durumda.
Haberin Sonu
Hikaye Şubat 2022’de başlıyor: Bir yabancı, Wormhole blok zinciri köprüsündeki ve bazı akıllı sözleşmelerin tasarımındaki bir hatayı kullanarak 120.000 adet Ethereum kripto para biriminin birdenbire Solana blok zincirine girmesine izin veriyor. Sonra yeni madeni paralarını temizledi. O sırada, solucan deliği operatörü Jump Crypto’nun zararı 320 milyon ABD dolarından fazlaydı. Bu, bugüne kadar bilinen en büyük kripto saldırılarından biridir. (Bir kripto köprüsü, yeni paralar oluşturmak için değil, farklı blok zincirleri arasındaki işlemlere izin vermek içindir.)
Ancak hırsız, ganimetini gerçek parayla değiştirmek için hiçbir girişimde bulunmadı. Bunun yerine, bir süre kripto para birimlerini hareket ettirdi, ardından yaklaşık bir yıl boyunca onları bıraktı. 2023’ün başlarına kadar işler yeniden hareket etmeye başladı. Fail, ganimeti kripto para birimleri üzerine büyük bahisler yapmak için kullandı. Bu istismarlar sırasında, madeni paralarını Oasis Protokolünün Mahzenleri adı verilen iki sözde kasaya yerleştirdi. Bu protokol, işletilen İngiliz şirketi Oaza Apps Ltd. tarafından sağlanmaktadır. Kasalar bir tür hesaptır ve muhtemelen üçüncü taraf kontrolünden bağımsızdır.
Ölümcül akıllı sözleşme
Solucan deliği yazarı, oraya yatırdığı kripto para birimlerini DAI para biriminin sabit para kredisi için teminat olarak kullandı – ardından kripto para birimlerinin artan fiyatları üzerine bahse girdi. Aynı zamanda, zararı durdur emri verdi. Buradaki fikir, seçilen fiyatlar belirli eşiklere ulaştığında, fiyatlar daha fazla bozulmadan önce otomatik olarak satış yaparak kayıpları sınırlamaktır. Bu, Oasis’te en kötü ihtimalle otomatik olarak devreye giren sözde akıllı sözleşmeler tarafından uygulanmaktadır.
Akıllı sözleşmeler, kaynak kodu genellikle katılımcılar tarafından görülebilen yazılımlara dayalıdır. Doğaları gereği, akıllı sözleşmeler bir kez kapatıldığında değişmezdir; ancak böcekler nedeniyle bu durum ağlamaya, diş gıcırdatmalarına ve milyonlarca kayıplara yol açmıştır. Bu nedenle, değişken akıllı sözleşmeler daha yaygın hale geliyor. Buna solucan deliği suçlusu tarafından kullanılan stop-stop emirleri de dahildir.
Bu akıllı sözleşmelerin on iki anahtarı vardır; Yazılım güncellemeleri bu on iki tuştan dördü ile onaylanmalıdır. Güncellemelerin de ancak 30 dakika sonra devreye girmesi bekleniyor – eğer çok dikkat ederseniz yeni akıllı sözleşme kodu yürürlüğe girmeden önce kripto değerlerinizi alabilmeniz gerekiyor.
İşte ters hırsızlık nasıl gitti
21 Şubat 2023 tarihinde, Zararı Durdur Akıllı Sözleşmelerine iki saatten daha kısa bir süre için bir anahtar daha eklendi. Bu süre zarfında akıllı sözleşme program kodu yeniden yazıldı ve bazı işlemler tetiklendi. Bu, iki kasada biriken ganimet paralarının tamamen farklı bir kasada sona ermesiyle sonuçlandı. Bu muhtemelen solucan deliği operatörü Jump Crypto veya bir mütevelli tarafından kontrol ediliyor.
Jump, suçlunun DAI kredisini derhal geri ödedi, böylece Oasis protokolünün operatörü herhangi bir mali zarar görmeyecek. Çalınan 137.537 Ethereum parası, failin geçen yıl hiç yoktan ürettiğinden 17.500 daha fazla Ethereum ve ardından Jump Crypto’yu değiştirmek zorunda kaldı. Ancak bu arada Ethereum’un fiyatı önemli ölçüde düştü. DAI kredisini çıkardıktan sonra, Jump Crypto’nun yaklaşık 140 milyon dolar değerinde kripto parayı kurtarması bekleniyordu ki bu, önceki yıla göre verilen hasarın yarısı bile değil. İki saatten kısa bir süre sonra akıllı sözleşme eklenti anahtarı tekrar silindi.
Sorumlular başlangıçta bu süreçleri açıklamadı. Ancak, kod değişiklikleri ve işlemler herkes tarafından görülebildiği için gerçekten gizli değillerdi. Süreçleri detaylı bir şekilde anlatan Blockworks Research operatörleri her şeyi fark etmiş durumda.
Haberin Sonu