Author

Topic: Merkeziyetsiz Finans Uygulaması Furucombo 14 Milyon Dolar Zarara Uğratıldı (Read 46 times)

legendary
Activity: 2352
Merit: 2592
Chancellor on Brink of Second Bailout for Banks
Akıllı sözleşmeleri kullanıyor olmanız hiç bir zaman %100 güvenlik anlamına gelmez. Aksine yeterince test edilmemiş ve açıkları kapatılmamış akıllı sözleşmeler kullanıcıların yatırımlarını kaybetmesi için çok kolay bir yoldur. Furucombo kullanıcının tek blok içerisinde bir çok emri alt alta dizerek gerçekleştirmesine izin veriyordu. Bunun için tüm diğer merkeziyetsiz platformlarla bir şekilde bağ kurmak zorunda ve onlardan giden ve gelen transferleri onaylamak durumunda. Saldırgan tam olarak bu noktayı bir açığa çeviriyor, kendi yarattığı kontratı AAVE kontratı gibi sisteme göstererek kolayca platformdaki ve platforma bağlı diğer yerleri boşaltıyor.

Olayın gerçekleşme biçimi @FrankResearcher tarafından analiz edilmiş.


Bir akıllı sözleşme ile işlem gerçekleştirdiğinizde sözleşme sizden harcama onayı ister. Ve her yeni harcama için yeni bir onaylama ücreti gerçekleştirmemeniz için limitsiz harcama emri düzenlenir. Siz yetkiyi verdikten sonra bir transfer işlemi gerçekleştirmeseniz dahi artık sizin onayınız olmadan işlem gerçekleştirebilir. Platformlara verdiğiniz izinleri etherscan üzerinden tekrar kaldırırsanız oluşabilecek güvenlik açığından etkilenmemiş olursunuz. Hangi iznin hangi platforma ait olduğunu bulamıyorsanız TxID sayfasından kontrat adresini bulup aratarak platform bilgisine ulaşabilirsiniz.



Yapacağınız her onay kaldırma işlemi için bir transfer ücreti ödemeniz gerekir. Güvenliğiniz çoğu zaman bir kaç dolar masraftan çok daha değerlidir. Eğer bir birimden artık elinizde yoksa ve bir daha sahip olmayı düşünmüyorsanız zaten o birimi cüzdanınızdan çekme olasılıkları olmayacağı için o birim için verdiğiniz izni kaldırmanıza ve yeniden bir ücret ödemenize gerek yok. Çalmak isteseler bile çalacak bir şey bulamazlar.

hero member
Activity: 2170
Merit: 640
Undeads.com - P2E Runner Game
Bu uygulamalardaki küçük açıklar çok büyük para kayıplarına sebep olabiliyor, özellikle kripto para platformlarının bu konuda ekstra dikkat etmesi lazım, çünkü tek bir işlemle platform üzerindeki bütün parayı kaybetme riskleri var.
jr. member
Activity: 168
Merit: 4
Merkeziyetsiz finans (DeFi) işlemleri için bir sürükle bırak aracı olan Furucombo, uygulamadaki bir açık nedeniyle 14 milyon dolar zarara uğratıldı.

Merkeziyetsiz finans (DeFi) işlemleri için bir sürükle bırak aracı olan Furucombo, uygulamadaki bir açık nedeniyle 14 milyon dolar zarara uğratıldı. Uygulamadaki açığı fark eden kötü niyetli bir kişi, 14 milyon dolar değerinde Ether (ETH) ve ERC-20 tokenini ele geçirdi.

The Block Research'ten Igor Igamberdiev'e göre, sahte bir akıllı sözleşme kullanarak Furuсombo'nun Aave v2'nin yeni bir uygulamaya sahip olduğunu düşünmesine neden olan saldırgan, bu sözleşmeyi Furucombo'daki tüm onaylanmış tokenleri kendi dijital cüzdanına aktarmak için kullandı.

https://twitter.com/FrankResearcher/status/1365740713334493192?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1365740713334493192%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Dfd92ebbc52fc43fb98f69e50e7893c13schema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Ffrankresearcher%2Fstatus%2F1365740713334493192image%3Dhttps3A%2F%2Fabs.twimg.com%2Ferrors%2Flogo46x38.png

Saldırı aynı zamanda bir başka DeFi protokolü Cream Finance’in hazine fonlarını da etkiledi Cream ekibi tarafından paylaşılan bir tweet’te, saldırı nedeniyle 1,1 milyon doların kaybedildiği ve Furucombo ekibinden gelecek detaylı açıklamanın beklendiği ifade edildi.

https://twitter.com/CreamdotFinance/status/1365778386849726466?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1365778386849726466%7Ctwgr%5E%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Dcb7145f1731b4c328f8e4d2201854ceaschema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Fcreamdotfinance%2Fstatus%2F1365778386849726466image%3Dhttps3A%2F%2Fabs.twimg.com%2Ferrors%2Flogo46x38.png

Özetle:
Bir saldırgan sahte bir akıllı sözleşme kullanarak merkeziyetsiz finans uygulaması Furucombo’daki 14 milyon dolar değerinde Ether (ETH) ve ERC-20 tokenini ele geçirdi. Saldırıdan Cream Finance’in hazine fonlarını da etkilendi. Olayın ardından Furucombo ekibi, projedeki güvenlik açığının kapatıldığını bildirdi.


Haber detayı: https://www.bfmedia.io/haberler/merkeziyetsiz-finans-uygulamasi-furucombo-14-milyon-dolar-zarara-ugratildi-31760.html
Jump to: