Merkezi finans (DeFi) sektörü, Aztec Connect'ten 2,1 milyon doları başarıyla çeken bir saldırgan tarafından, terk edilmiş akıllı kontratların kalıcı riskleri konusunda bir kez daha keskin bir hatırlatma aldı. Aztec Connect, üç yıl önce faaliyetlerini durdurmuş gizlilik odaklı bir protokoldür. 14 Haziran'da gerçekleştirilen bu saldırı, projeler kapatıldıktan çok sonra eski blockchain altyapısının nasıl savunmasız kalabileceğini göstermektedir.

Blockchain güvenlik firması CertiK, şüpheli işlemi tespit ederek X sosyal medya platformunda duyurdu ve saldırganın platformun kanıt doğrulama mantığında temel bir kusuru nasıl istismar ettiğini ortaya çıkardı. Zafiyet, gönderilen kanıtların eksik doğrulanmasına odaklanmakta, kötü niyetli aktörün sistemin temel güvenlik mekanizmalarını manipüle etmesine ve protokolün akıllı kontratlarında kilitli kalan fonları çıkarmasına izin vermekteydi.

Aztec Connect aslen Ethereum için bir gizlilik katmanı olarak çalışıyor, kullanıcıların mevcut DeFi protokolleriyle uyumluluğu koruyarak özel işlemler yapmalarını sağlıyordu. Platform, işlem detaylarını gizlerken Uniswap ve Aave gibi popüler uygulamalarla etkileşim kurabilme yeteneklerini koruyan sıfır bilgi kanıtlarını kullanıyordu. Ancak proje geliştiricileri 2023'te kapatılışını duyurdular ve akıllı kontratları ile kullanıcı fonlarını aktif bakım veya güvenlik izlemesi olmaksızın eski bir durumda bıraktılar.

Saldırı, DeFi ekosisteminin proje yaşam döngüsünü ve akıllı kontrat emekliliğini nasıl ele aldığında kritik bir zayıflığı vurgulmaktadır. Geleneksel finansal hizmetlerin temiz bir şekilde kapatılabilir ve varlıkların yeniden dağıtılabilir olmasının aksine, blokzincir tabanlı protokoller genellikle sonsuz çalışan değişmez kodu terk etmektedir. Bu "zombi kontratlar" milyonlarca dolar kilitli varlık içerebilirken, aktif projelerin tipik olarak aldığı güvenlik gözetimi ve hata düzeltmelerinden yoksun kalabilmektedir.

Saldırganın yöntemi, Aztec Connect'in özel işlemleri doğrulamak için kullandığı kanıt doğrulama sistemini manipüle etmeyi içermekteydi. Hatalı doğrulama mantığından geçen yanlış şekillendirilmiş veya eksik kanıtlar göndererek, istismarçı akıllı kontratı uygun kriptografik gereksinimleri karşılamadan fonları serbest bırakmasına ikna edebilmekteydi. Bu tür doğrulama engelleme, akıllı kontrat zafiyetlerinin en tehlikeli kategorilerinden birini temsil eder, çünkü tüm sistemin temel güven varsayımlarını baltalamaktadır.

Endüstri güvenlik uzmanları, uzun süredir eski DeFi protokolleri tarafından ortaya çıkacak riskler konusunda uyarıda bulunmuşlardır. Birçok proje önemli medya patlaması ve kullanıcı benimsenmesiyle başlatılarak, kayda değer toplam kilitli değer (TVL) biriktirir, ancak faaliyetler sona erdiğinde kapsamlı kapatma prosedürlerine sahip değildir. Aztec Connect olayı, proje emekliliği etrafında daha iyi endüstri standartlarının gerekliliğini, kapatmadan önce zorunlu güvenlik denetimlerini ve kontrat amortisman için açık zaman çizelgelerini içermek üzere vurgulamaktadır.

2,1 milyon dolarlık kayıp ayrıca DeFi'de kullanıcı davranışı ve risk değerlendirmesi konusunda sorular ortaya çıkarmaktadır. Aztec Connect'in üç yıl önce kapatılmasına rağmen, önemli miktarda para protokolün kontratlarında kaldı ve bu da kullanıcıların ya faaliyetlerin sona ermesinin farkında olmadıklarını ya da varlıklarını çekemediğini göstermektedir. Bu model, DeFi alanı olgunlaştıkça ve erken deneysel projeler kapanmaya başladıkça giderek daha yaygın hale gelmiştir.

Daha geniş ekosistem için, bu saldırı akıllı kontrat güvenliğinin başlatma ve aktif operasyon aşamalarının çok ötesine uzandığı konusunda çok önemli bir hatırlatma görevini görmektedir. Daha fazla DeFi protokolü yaşam döngüsünün sonuna ulaştıkça, endüstri akıllı kontratları güvenli bir şekilde devre dışı bırakmak ve geçiş dönemlerinde kullanıcı fonlarını korumak için sağlam çerçeveler geliştirmelidir. Alternatif—milyonlarca doları terk edilmiş koddaki bırakmak—eski sistemleri istismar etmeye istekli sofistike saldırganlar için cazip bir hedef oluşturmaktadır.

Bitcoin News tarafından yayınlanan bağımsız gazeteciliğin editoryal ekibi tarafından yazılmıştır.