Aztec Network, üç gün içinde iki hack sonucu 4 milyon doların üzerinde kayıp yaşadı

iconCoinJournal
Paylaş
This is the logo of the coin.
AZTEC
$0,01506-%1,95
AI summary iconÖzet
  • Eski Aztec Network sözleşmelerinden üç gün içinde 4 milyon doların üzerinde para çekildi.
  • Saldırılar, sıfır bilgi kanıtı doğrulama mantığındaki hataları kullanmıştır.
  • Temel Aztec ağı ve AZTEC tokenu, istismarlar tarafından etkilenmedi.

Aztec'in miras altyapısı, üç gün içinde 4 milyon doları aşan kayıplara neden olan koordine bir saldırı dalgasına maruz kaldı.

Saldırılar, yıllar önce kapatılmış olsa da zincir üzerinde likiditeye sahip olan eski akıllı sözleşmeleri hedef aldı.

Pasif ve değişmez olarak etiketlenmesine rağmen, sözleşmeler, sıfır bilgi kanıtı doğrulama mantığında bulunan zayıflıkları kullanan saldırganlar tarafından erişilebilir kalmıştır.

Saldırılar, mevcut Aztec ağını veya AZTEC tokenini etkilemedi, ancak aktif bakım veya yükseltme yolları olmadan Ethereum üzerinde hâlâ var olan eski DeFi sistemleriyle ilişkili uzun süredir devam eden riskleri ortaya çıkardı.

İlk ihlal: Aztec Connect, 2,1 milyon dolarlık tutarda boşaltıldı

ilk olay, 14 Haziran'da, görevi sona erdikten sonra resmen kapatılmış olan Aztec Connect protokolünü istismar eden saldırganlar tarafından gerçekleşti.

Sözleşme zaten etkin olmadığı kabul edilmişti, ancak hala artan fonlar içeriyordu.

Saldırgan, yaklaşık 909 ETH, 270.000 DAI ve 167 wstETH dahil olmak üzere yaklaşık 2,1 milyon dolarlık dijital varlıkları boşaltmayı başardı.

Saldırı, rollup kanıt doğrulamanın nasıl işlendiğiyle ilgili hatalara bağlandı ve geçersiz veya manipüle edilmiş kanıtların meşru olarak kabul edilmesine izin verdi.

Durumu daha kritik hale getiren, sözleşmenin kendisinin doğasıydı.

Aztec Connect, bir kez dağıtıldıktan sonra durdurulamayacağı veya düzeltilamayacağı şekilde tanımlandı.

Kullanıcılar, kapatmadan önce para çekmeleri için önceden teşvik edilse de, kalan bakiye yıllar sonra kolay bir istismar hedefi haline geldi.

Olayı inceleyen güvenlik ekibi, sıfır bilgi kanıtı doğrulama ile zincir üstü settlement mantığı arasındaki ilişkinin bozulduğunu işaret etti.

Basitçe ifade edersek, sistem temel işlem durumuyla doğru şekilde eşleşmeyen kanıtları kabul etti ve bu da saldırganın yetkisiz çekimler tetiklemesine izin verdi.

İkinci saldırı: Özel Rollup Köprüsü, 2,15 milyon dolarlık bir saldırıya uğradı

Sadece üç gün sonra, ikinci bir istismar Private Rollup Bridge olarak bilinen başka bir eski sistemde gerçekleşti.

Bu sözleşme, Aztec’in eski altyapısının bir parçasıydı ve daha önceki rollup tasarımlarından ayrılma sonrasında kullanımdan kaldırılmıştı.

Bu durumda, saldırganlar olay anında yaklaşık 2,15 milyon dolar değerinde olan 1.158 ETH'yi boşalttı.

Kullanılan yöntem, uygulamada farklıydı ancak teknik kök nedeni benzerdi.

Saldırgan, temel kanıt uyuşmazlığı aracılığıyla çekimleri doğrudan manipüle etmek yerine, köprü tasarımına gömülmüş savunmasız bir “kaçış yolu” mekanizmasını kullandı.

Özel olarak oluşturulmuş bir sıfır bilgi kanıtı göndererek saldırgan, sözleşmenin çıkış mantığını tetikleyebildi.

Sistem, kanıtı yanlış doğruladı ve temel durum geçişlerinin uygun şekilde doğrulanmadan fonları serbest bıraktı.

Bu, saldırganın likiditeyi tek bir koordine edilmiş dizide çıkarmasını sağladı.

Daha önceki sızıntı gibi, bu ihlal özel anahtar comprometi veya yeniden girilme zafiyetlerini içermiyor.

Bunun yerine, kalıtsal rollup sistemlerinde kanıt doğrulamanın nasıl yapılandırıldığını ve sözleşmelerin resmen sona erdikten sonra hâlâ zincir üzerinde kalıcı olarak aktif kalmasını vurguladı.

Aztec ve güvenlik firmalarından yanıt

İki olaydan sonra Aztec Labs ve Aztec Vakfı, etkilenen sistemlerin mevcut Aztec ağına veya AZTEC token ekosistemine hiçbir bağlantısı olmayan eski ürünler olduğunu doğruladı.

İkisi de dağıtım sırasında değişmez olacak şekilde tasarlandığı için, hiçbir sözleşmenin güncellenemeyeceğini, durdurulamayacağını veya kontrol edilemeyeceğini vurguladılar.

Güvenlik firması CertiK Alert, Özel Rollup Köprüsü istilasını işaretledi ve saldırganın adresini belirleyerek, belirli bir Ethereum işlemine bağlı fon hareketlerini doğruladı.

Analizleri diğer incelemelerle uyumluydı ve zafiyetin geleneksel akıllı sözleşme hatalarından ziyade sıfır bilgi kanıtı doğrulamasındaki eksikliklerden kaynaklandığını gösteriyordu.

Aztec temsilcileri, Private Rollup Bridge ve Aztec Connect olaylarının kısa bir zaman aralığında gerçekleşmesine ve benzer teknik zayıflıklara sahip olmasına rağmen, ayrı olaylar olduğunu da açıkladı.

Aztec Network, üç gün içinde iki ardışık hack sonucu 4 milyon doların üzerinde kayıp yaşadı ilk olarak CoinJournal’da yayınlandı.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.