Kripto para piyasasında bu sefer merkeziyetsiz otonom organizasyonlardan (DAO) biri hedefteydi. Güvenlik firması CertiK’e göre, FriesDAO’nun cüzdanı bir saldırıya uğradı. CertiK, altcoin hack olayında zararın 2,3 milyon dolar olduğunu söylüyor. DAO ekibi, dağıtımcı cüzdanı, Profanity adlı güvenli olmayan bir araçla oluşturdu.
Bu sefer hack’lenen altcoin projesi FriesDAO oldu
Bilinmeyen bir saldırgan, FriesDAO adlı merkezi olmayan özerk bir kuruluştan 2,3 milyon dolarlık token çaldı. Ekim ayı kripto projeleri için özellikle kötü bir ay olarak geçiyor. Bu saldırı da bu ay içindeki bir dizi saldırı ve istismarın ortasında geldi.
Hack, bilgisayar korsanının FriesDAO’nun ‘dağıtıcı cüzdanının’ kontrolünü ele geçirmesiyle başladı. Daha sonra saldırgan, projenin yönetim tokenleri olan büyük miktarda FRIES’yi kontrolünü aldı ve transfer etti. Fail ayrıca, diğer tokenleri bir stake havuzundan boşaltarak, dağıtımcı cüzdanına erişimlerinden yararlandı. Güvenlik firması CertiK, çalınan tokenlerin hacker’ın adresinde tutulan 2,3 milyon dolarlık stablecoin karşılığında satıldığını tahmin ediyor. FriesDAO, kullanıcıları hack konusunda bilgilendirdi:
Geri ödeme dağıtım sözleşmesinin istismar edildiğini ve daha sonra USDC için iade edilen ve Uniswap havuzuna satılan FRIES tokenlerini almayı başardığını fark ettik.
CertiK: Bu saldırıya engel olmak mümkündü
Geliştirici ekip, FriesDAO’nun dağıtımcı cüzdanını, Profanity kullanarak oluşturdu. Profanity’nin kritik bir güvenlik açığı içerdiği ise bilinen bir gerçek. Kriptokoin.com’dan takip ettiğiniz üzere, geçen ay, 1inch’teki güvenlik analistleri, Profanity aracılığıyla oluşturulan özel adreslerin özel anahtarlarının, kötü niyetli bilgisayar korsanları tarafından fon çalmak için hesaplanabileceğini buldu. 1inch’ten sonra, bilgisayar korsanları güvenlik açığını piyasa yapıcı Wintermute’den 160 milyon dolarlık kripto varlık çalmak için kullandı.
FriesDAO, dağıtımcı cüzdan adresini oluşturmak için Profanity’ye de güvenli olduğunu düşündü. CertiK’e göre, güvenlik açığı nedeniyle bilgisayar korsanı, fonları dışarı taşımak için cüzdanın özel anahtarını çıkardı. Güvenlik firması, ekip daha gayretli olsaydı ve konuşlandırıcının adresini zamanında değiştirseydi FriesDAO’nun istismarından kaçınılabileceğini söyledi. CertiK, saldırıya ilişkin yaptığı açıklamada şu huşuların altını çizdi:
Bu saldırıya engel olmak mümkündü. Çünkü Profanity güvenlik açığı bir aydan fazla bir süredir herkesin bildiği bir şeydi. CertiK, etkilenen cüzdanlarda tutulan varlıkların kontrolünü güvenli bir şekilde oluşturulmuş adreslere anında aktarmak için Profanity aracını kullanan tüm Web3 projelerine çağrı yapıyor.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Facebook‘ta ve Instagram‘da takip edin ve Telegram ve YouTube kanalımıza katılın!
