Akıllı sözleşmeleri kullanıyor olmanız hiç bir zaman %100 güvenlik anlamına gelmez. Aksine yeterince test edilmemiş ve açıkları kapatılmamış akıllı sözleşmeler kullanıcıların yatırımlarını kaybetmesi için çok kolay bir yoldur. Furucombo kullanıcının tek blok içerisinde bir çok emri alt alta dizerek gerçekleştirmesine izin veriyordu. Bunun için tüm diğer merkeziyetsiz platformlarla bir şekilde bağ kurmak zorunda ve onlardan giden ve gelen transferleri onaylamak durumunda. Saldırgan tam olarak bu noktayı bir açığa çeviriyor, kendi yarattığı kontratı AAVE kontratı gibi sisteme göstererek kolayca platformdaki ve platforma bağlı diğer yerleri boşaltıyor.
Olayın gerçekleşme biçimi
@FrankResearcher tarafından analiz edilmiş.
Bir akıllı sözleşme ile işlem gerçekleştirdiğinizde sözleşme sizden harcama onayı ister. Ve her yeni harcama için yeni bir onaylama ücreti gerçekleştirmemeniz için limitsiz harcama emri düzenlenir. Siz yetkiyi verdikten sonra bir transfer işlemi gerçekleştirmeseniz dahi artık sizin onayınız olmadan işlem gerçekleştirebilir. Platformlara verdiğiniz izinleri
etherscan üzerinden tekrar kaldırırsanız oluşabilecek güvenlik açığından etkilenmemiş olursunuz. Hangi iznin hangi platforma ait olduğunu bulamıyorsanız TxID sayfasından kontrat adresini bulup aratarak platform bilgisine ulaşabilirsiniz.
Yapacağınız her onay kaldırma işlemi için bir transfer ücreti ödemeniz gerekir. Güvenliğiniz çoğu zaman bir kaç dolar masraftan çok daha değerlidir. Eğer bir birimden artık elinizde yoksa ve bir daha sahip olmayı düşünmüyorsanız zaten o birimi cüzdanınızdan çekme olasılıkları olmayacağı için o birim için verdiğiniz izni kaldırmanıza ve yeniden bir ücret ödemenize gerek yok. Çalmak isteseler bile çalacak bir şey bulamazlar.
