|
Title: Merkeziyetsiz Finans Uygulaması Furucombo 14 Milyon Dolar Zarara Uğratıldı Post by: bfmedia on March 01, 2021, 08:46:18 AM Merkeziyetsiz finans (DeFi) işlemleri için bir sürükle bırak aracı olan Furucombo, uygulamadaki bir açık nedeniyle 14 milyon dolar zarara uğratıldı.
Merkeziyetsiz finans (DeFi) işlemleri için bir sürükle bırak aracı olan Furucombo, uygulamadaki bir açık nedeniyle 14 milyon dolar zarara uğratıldı. Uygulamadaki açığı fark eden kötü niyetli bir kişi, 14 milyon dolar değerinde Ether (ETH) ve ERC-20 tokenini ele geçirdi. The Block Research'ten Igor Igamberdiev'e göre, sahte bir akıllı sözleşme kullanarak Furuсombo'nun Aave v2'nin yeni bir uygulamaya sahip olduğunu düşünmesine neden olan saldırgan, bu sözleşmeyi Furucombo'daki tüm onaylanmış tokenleri kendi dijital cüzdanına aktarmak için kullandı. https://twitter.com/FrankResearcher/status/1365740713334493192?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1365740713334493192%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Dfd92ebbc52fc43fb98f69e50e7893c13schema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Ffrankresearcher%2Fstatus%2F1365740713334493192image%3Dhttps3A%2F%2Fabs.twimg.com%2Ferrors%2Flogo46x38.png (https://twitter.com/FrankResearcher/status/1365740713334493192?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1365740713334493192%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Dfd92ebbc52fc43fb98f69e50e7893c13schema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Ffrankresearcher%2Fstatus%2F1365740713334493192image%3Dhttps3A%2F%2Fabs.twimg.com%2Ferrors%2Flogo46x38.png) Saldırı aynı zamanda bir başka DeFi protokolü Cream Financein hazine fonlarını da etkiledi Cream ekibi tarafından paylaşılan bir tweette, saldırı nedeniyle 1,1 milyon doların kaybedildiği ve Furucombo ekibinden gelecek detaylı açıklamanın beklendiği ifade edildi. https://twitter.com/CreamdotFinance/status/1365778386849726466?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1365778386849726466%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Dcb7145f1731b4c328f8e4d2201854ceaschema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Fcreamdotfinance%2Fstatus%2F1365778386849726466image%3Dhttps3A%2F%2Fabs.twimg.com%2Ferrors%2Flogo46x38.png Özetle: Bir saldırgan sahte bir akıllı sözleşme kullanarak merkeziyetsiz finans uygulaması Furucombodaki 14 milyon dolar değerinde Ether (ETH) ve ERC-20 tokenini ele geçirdi. Saldırıdan Cream Financein hazine fonlarını da etkilendi. Olayın ardından Furucombo ekibi, projedeki güvenlik açığının kapatıldığını bildirdi. Haber detayı: https://www.bfmedia.io/haberler/merkeziyetsiz-finans-uygulamasi-furucombo-14-milyon-dolar-zarara-ugratildi-31760.html Title: Re: Merkeziyetsiz Finans Uygulaması Furucombo 14 Milyon Dolar Zarara Uğratıldı Post by: flipme on March 02, 2021, 06:05:31 AM Bu uygulamalardaki küçük açıklar çok büyük para kayıplarına sebep olabiliyor, özellikle kripto para platformlarının bu konuda ekstra dikkat etmesi lazım, çünkü tek bir işlemle platform üzerindeki bütün parayı kaybetme riskleri var.
Title: Re: Merkeziyetsiz Finans Uygulaması Furucombo 14 Milyon Dolar Zarara Uğratıldı Post by: Bthd on March 02, 2021, 08:58:09 AM Akıllı sözleşmeleri kullanıyor olmanız hiç bir zaman %100 güvenlik anlamına gelmez. Aksine yeterince test edilmemiş ve açıkları kapatılmamış akıllı sözleşmeler kullanıcıların yatırımlarını kaybetmesi için çok kolay bir yoldur. Furucombo kullanıcının tek blok içerisinde bir çok emri alt alta dizerek gerçekleştirmesine izin veriyordu. Bunun için tüm diğer merkeziyetsiz platformlarla bir şekilde bağ kurmak zorunda ve onlardan giden ve gelen transferleri onaylamak durumunda. Saldırgan tam olarak bu noktayı bir açığa çeviriyor, kendi yarattığı kontratı AAVE kontratı gibi sisteme göstererek kolayca platformdaki ve platforma bağlı diğer yerleri boşaltıyor.
Olayın gerçekleşme biçimi @FrankResearcher (https://twitter.com/FrankResearcher/status/1365740713334493192) tarafından analiz edilmiş. https://telegra.ph/file/cfa41207630d67295220d.png Bir akıllı sözleşme ile işlem gerçekleştirdiğinizde sözleşme sizden harcama onayı ister. Ve her yeni harcama için yeni bir onaylama ücreti gerçekleştirmemeniz için limitsiz harcama emri düzenlenir. Siz yetkiyi verdikten sonra bir transfer işlemi gerçekleştirmeseniz dahi artık sizin onayınız olmadan işlem gerçekleştirebilir. Platformlara verdiğiniz izinleri etherscan (https://etherscan.io/tokenapprovalchecker?search=0x200998f1c6bb56b100752c9334dd445c7d0740c3) üzerinden tekrar kaldırırsanız oluşabilecek güvenlik açığından etkilenmemiş olursunuz. Hangi iznin hangi platforma ait olduğunu bulamıyorsanız TxID sayfasından kontrat adresini bulup aratarak platform bilgisine ulaşabilirsiniz. https://telegra.ph/file/8be780a563ae2090da042.png Yapacağınız her onay kaldırma işlemi için bir transfer ücreti ödemeniz gerekir. Güvenliğiniz çoğu zaman bir kaç dolar masraftan çok daha değerlidir. Eğer bir birimden artık elinizde yoksa ve bir daha sahip olmayı düşünmüyorsanız zaten o birimi cüzdanınızdan çekme olasılıkları olmayacağı için o birim için verdiğiniz izni kaldırmanıza ve yeniden bir ücret ödemenize gerek yok. Çalmak isteseler bile çalacak bir şey bulamazlar. |
