Merkezi olmayan finans (DeFi) sektörü, Aztec Connect'ten 2,1 milyon doları başarıyla drene eden bir saldırgan tarafından, üç yıl önce faaliyetlerini durdurmuş gizlilik odaklı bir protokolün terk edilmiş akıllı sözleşmelerinin kalıcı riskleri konusunda bir kez daha uyarı aldı. 14 Haziran'da gerçekleştirilen bu istismar, projeler faaliyetlerini sonlandırdıktan çok sonra bile eski blockchain altyapısının ne kadar savunmasız kalabileceğini göstermektedir.
Blockchain güvenlik firması CertiK, şüpheli işlemi belirleyerek sosyal medya platformu X'te bildirdi ve saldırganın platformun kanıt doğrulama mantığındaki temel bir açığı istismar ettiğini ortaya koymıştır. Açık, gönderilen kanıtların eksik doğrulanmasına dayanmakta, kötü niyetli aktörün sistemin temel güvenlik mekanizmalarını manipüle etmesine ve protokolün akıllı sözleşmelerine kilitlenmiş kalan fonları çıkarmasına olanak tanımıştır.
Aztec Connect aslen Ethereum için bir gizlilik katmanı olarak çalışıyordu ve kullanıcıların mevcut DeFi protokolleriyle uyumluluğu koruyarak özel işlemler yapmasını sağlıyordu. Platform, işlem detaylarını gizlemek için sıfır bilgi kanıtları kullanan Uniswap ve Aave gibi popüler uygulamalarla etkileşim kurma yeteneğini koruyordu. Ancak projenin geliştiricileri 2023'te kapanışını açıkladı ve akıllı sözleşmeleri ile kullanıcı fonlarını aktif bakım veya güvenlik gözetimi olmaksızın eski bir durumda bıraktı.
Bu istismar, DeFi ekosisteminin proje yaşam döngüsü ve akıllı sözleşme emekliliği ile nasıl başa çıktığına ilişkin kritik bir zayıflığı vurgulamaktadır. Temiz bir şekilde kapatılabilen ve varlıkları yeniden dağıtılabilen geleneksel finansal hizmetlerin aksine, blockchain tabanlı protokoller sık sık belirsiz süreyle çalışan değişmez kod bırakır. Bu "zombi sözleşmeler", aktif projelerin tipik olarak aldığı güvenlik gözetimi ve hata düzeltmeleri eksik olsa bile, milyonlarca dolar kilitli varlık içerebilir.
Saldırganın yöntemi, Aztec Connect'in özel işlemleri doğrulamak için kullandığı kanıt doğrulama sistemini manipüle etmeyi içeriyordu. Kusurlu doğrulama mantığını geçen hatalı veya eksik kanıtlar göndererek, saldırgan akıllı sözleşmeyi uygun kriptografik gereklilikler yerine getirmeden fonları serbest bırakmaya ikna edebilirdi. Bu tür doğrulama atlama, akıllı sözleşme güvenlik açıklarının en tehlikeli kategorilerinden birini temsil eder, çünkü tüm sistemin temel güven varsayımlarını baltalar.
Endüstri güvenlik uzmanları uzun süredir eski DeFi protokolleri tarafından oluşturulan riskleri uyarmışlardır. Birçok proje önemli bir itibar ve kullanıcı benimsenmesi ile başlatılır, önemli toplam kilitli değer (TVL) biriktirir, ancak operasyonlar sona erdiğinde kapsamlı kapanış prosedürleri eksiktir. Aztec Connect olayı, kapatılmadan önce zorunlu güvenlik denetimleri ve sözleşme amortismanı için açık zaman çizelgeleri de dahil olmak üzere proje emekliliğinin etrafında daha iyi endüstri standartlarının gerekliliğini göstermektedir.
2,1 milyon dolarlık kayıp ayrıca DeFi'de kullanıcı davranışı ve risk değerlendirmesi konusunda sorular ortaya koymaktadır. Aztec Connect'in kapatılmasından üç yıl sonra bile, protokolün sözleşmelerine önemli miktarda fon kalmış olması, kullanıcıların operasyonların sonlandırılmasından haberdar olmadığını veya varlıklarını çekemediğini göstermektedir. Bu desen, DeFi alanı olgunlaştıkça ve erken deneysel projeler faaliyetlerini sonlandırdıkça giderek yaygınlaşmıştır.
Daha geniş ekosistem için, bu istismar akıllı sözleşme güvenliğinin başlatma ve aktif operasyon aşamalarının ötesine uzandığını gösteren çok önemli bir anımsatıcı görevi görmektedir. Daha fazla DeFi protokolü yaşam sonuna ulaştıkça, endüstri akıllı sözleşmeleri güvenli bir şekilde devre dışı bırakmak ve geçiş dönemlerinde kullanıcı fonlarını korumak için güçlü çerçeveler geliştirmelidir. Alternatif ise—milyonlarca doları terk edilmiş kodda bırakmak—eski sistemleri istismar etmeye istekli sofistike saldırganlar için çekici bir hedef oluşturmaktadır.
Bitcoin News tarafından sağlanan bağımsız gazeteciliğin editorial ekibi tarafından yazılmıştır.