Kripto para borsalarında yaşanan saldırılar klasik banka soygunlarının ötesine geçip yüz milyonlarca doları aşıyor. Bugüne kadar çok sayıda benzer saldırı gördük. Bunların en büyükleri Ethereum’un kurucusu Vitalik Buterin, köprü uygulamaları riskli ve hacklenebilir açıklamasının ardından yaşandı. O günlerde “bridge” özelliğiyle tanınan altcoinlere dikkat edilmesi gerektiğiyle ilgili uyarılarda bulunmuştuk.
100 Milyon Dolarlık Hack
PeckShield tarafından hazırlanan raporlara göre, Harmony blockchain protokolüne bağlı zincirler arası bir köprü olan Horizon’dan 100 milyon dolar çalan saldırgan bunları aklamaya başladı. Etherscan’den elde edilen veriler, saldırıda bilgisayar korsanı tarafından kullanılan cüzdanın başka bir cüzdana yaklaşık 18.000 ETH gönderdiği görülüyor. Yazı hazırlandığı sırada bu varlıkların toplam değeri 21 milyon doların üzerindedir.
İlk aracı adres, bir kripto para mikseri olan Tornado Cash aracılığıyla alınan fonları zaten akladı. İkinci cüzdan, bunu 100 ETH’lik gruplar halinde aklamaya devam ediyor. Üçüncü cüzdanda ise 6.000 Ethereum daha bulunuyor.
Ödülü Kabul Etmedi
Bu fon transferleri, Harmony’nin çalınan fonların iadesi için 1 milyon dolarlık ödül teklif ettikten sonra başladı. Blockchain projesi, bilgisayar korsanının çalınan kripto varlıklarını iade etmesi durumunda hukuki mücadele yoluna gidilmeyeceğinin de taahhüdünü verdi. Hacker’ın cüzdanında hala 80 milyon doların üzerinde ETH ve köprü istismarı sırasında çalınan yaklaşık 65.000 dolar değerinde başka token bulunuyor.
Horizon köprüsünden toplamda 85.000 ETH çalınmıştı. Polygon‘un bilgi güvenliği şefi Mudit Gupta gibi güvenlik uzmanları, daha önce birçok uzmanın uyardığı gibi saldırının köprünün çoklu imza cüzdanının tehlikeye girmesi nedeniyle gerçekleştiğini söylüyor. Muti-signature (çoklu imza) cüzdanlar, cüzdan kullanımını kontrol eden birkaç özel anahtarla akıllı bir sözleşmeye bağlı çalışır. Akıllı sözleşme genellikle bir işlemi onaylamak için gereken minimum anahtar sayısı için bir kural içerir. Bu nedenle, bu anahtarlar, merkezi olmayan onay sürecinin kötü niyetli aktörlerin cüzdana girmesini zorlaştıracağı mantığıyla farklı kişiler arasında paylaşılır.
Ancak, işlemleri onaylamak için daha düşük olması gereken “minimum” anahtar belirleme zorunluğu bulunuyor. Gupta’ya göre, 5 imzanın 2’si minimum onay kuralı olarak belirlendi. Saldırgan 2 anahtarı ele geçirerek minimum onay kuralıyla varlıkları taşımayı başardı. Benzer bir durum, bilgisayar korsanlarının yaklaşık 600 milyon dolar değerinde kripto çaldığı Ronin köprüsü saldırısında da yaşandı. ABD hükümeti tarafından Kuzey Kore bağlantılı hack grubu Lazarus olarak tanımlanan Roin saldırganı, köprü protokolü tarafından kullanılan dokuz doğrulayıcıdan beşini ele geçirerek bu saldırıyı yapmıştı.
