Hackerlar 1 Milyar Sahte EOS’la Kripto Para Borsasını Soydular

Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Şok edici bir güvenlik açığı yüzünden hackerlar 1 milyar sahte EOS ile “merkezi olmayan” bir ticaret platformu oluşturdu. Soygunun sonunda hırsızlar 58.000 dolar değerinde kripto parayı doğrudan kullanıcılardan çaldı.

Korsanlar ironik şekilde “EOS” olarak adlandırdılkları EOS tabanlı bir koin yarattılar ve Newdex’in borsa servisinden yasal olmayan şekilde BLACK, IQ ve ADD koinleri satın almak için kullandılar. Şirket o zaman hack’i onayladı.

Newdex tarafından yapılan bir açıklamada “EOS hesabı oo1122334455, 1.000.000.000 sahte EOS koini piyasaya sürdü,” diye yazıldı. “Saldırının fizibilitesini test ettikten sonra, hesap büyük “satın alma emirleri” çıkarmaya başladı. Toplam 11.800 adet sahte EOS ile BLACK, IQ [sic] ve ADD token satın almak için emir verildi.”

EOS’lar Bitfinex’e Aktarıldı

Hırsızlar nihayetinde gerçek EOS kripto koinlere ulaşmak için bu koinlerle takas işlemleri yaptı. Newdex tarafından daha sonra yapılan açıklamalara göre hırsızların yaklaşık 20.000 dolar değerinde olan 4.028 gerçek EOS’u kripto borsası Bitfinex’e aktarmayı başardığı ortaya çıktı.

Sonuç olarak Newdex dApp kullanıcıları yaklaşık 58.000 dolar değerinde zarara uğramış oldu. Grup olayla ilgili özür dilemesine rağmen, etkilenen kullanıcıların zararını telafi etmek için bir plan ortaya atmış değil.

Güvenlik açığı iki şeyden kaynaklanıyor gibi görünüyor: Birincisi, herkes EOS kullanarak bir koin oluşturabiliyor ve görünüşe göre bu koine istedikleri adı koyabiliyorlar -“EOS” bile. İhtiyacınız olan tek şey ise bir EOS hesabı oluyor.

İkincisi ise Newdex’in akıllı sözleşme kullanmıyor olması. Evet, bu doğru. Bir akıllı sözleşme olmadığından, kripto paraların platforma akıtılıyor olduğunun gerçekliğini doğrulayacak bir şey yoktu.

Tüm bunların sebebi ise geliştiricilerin, merkezi olmayan borsaları (DEX) çevreleyen aldatmacalardan kendilerini de onlardan biri gibi göstererek yarar sağlıyor olması gibi görünüyor. Gerçekte bir varlık borsası kisvesi altında sadece bir kullanıcı hesabı işlem yapıyor – aslına bakarsanız, bu oldukça merkezi.

Aslında topluluk, saldırıdan yalnızca birkaç gün önce bunu kanıtladı:

[…] Giriş ve ticaret arayüzü olarak aldatıcı bir şekilde Scatter’ı sundular ki bu nedenle siz de DEX kullanıyormuş gibi hissettiniz. Gerçekte ise herhangi bir akıllı sözleşmeye para göndermiyorsunuz, bu sadece üzerinde çalışan akıllı bir sözleşmeye bile sahip olmayan ‘newdexpocket’ adlı bir normal EOS hesabı.

Bu açıklamalar daha sonra Hard Fork tarafından onaylandı. Bu durumda, “newdexpocket” EOS hesabının – operasyonel Newdex dApp cüzdanı – üzerine programlanmış bir akıllı sözleşme kodu yoktu. Bir akıllı sözleşme olmadan ise bu, Newdex kullanıcılarının işlemlerin doğru bir şekilde gerçekleştirileceği umuduyla kişisel bir EOS hesabına para göndermekte olduğu anlamına geliyor.

Daha da kötüsü hesabın, hem sahip hem de etkin izinleri için tam olarak aynı anahtarı kullandığı anlaşılıyor. Bu, tek bir saldırı vektörünü kolayca kullanılabilir hale getirir. Örnek olarak, çoğu borsa en azından multi-sig cüzdanlar kullanıyor.

Buradan öyle görünüyor ki, bu durumda hedef anahtarlar bile değil yalnızca kullanıcıları korumak için bir akıllı sözleşme bile programlamayacak kadar ihmalkar koin borsası geliştiricileri tarafından bırakılan şaşırtıcı güvenlik boşluklarıydı.

2018’in “merkezi olmayan” internetine hoş geldiniz.

Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da takip edin, Facebook sayfamızı beğenin ve Telegram kanalımıza katılın!

Hackerlar 1 Milyar Sahte EOS’la Kripto Para Borsasını Soydular

Yorumlar kapalı.