Aztec Network'in Router sözleşmesi, ethereum [ETH] blok zincirinde keşfedilen şüpheli bir işlem nedeniyle haberlerde. Bu, yaklaşık 2,19 milyon dolar değerindeki varlıkların kaybına yol açtı.
Aslında, “0x0f18….edd17” cüzdan adresi, işlemi gerçekleştirmek için protokolün Router kontraktından para kullandı.
CertiK'e göre, saldırı, saldırganın akıllı sözleşmede bir zayıflıktan yararlanarak protokol fonlarına yetkisiz erişim elde edebilir veya varlıkları çekmek için sözleşmenin mantığını değiştirebilir olması nedeniyle “şüpheli” idi.
Bir olası akıllı sözleşme doğrulama hatası
Ancak bazı ipuçları, protokolün kanıt verilerinin yönetiminin akıllı sözleşme doğrulama sürecinde hatalı olduğunu gösteriyordu. Sorun özellikle, sağlanan _proofData'nın geçerliliğini onaylamayı denetleyen ancak yalnızca ilk kısmını inceleyen computeRootHashes() fonksiyonuyla ilgiliydi.
Ancak aynı _proofData yükünün orta kısmı, processDepositsAndWithdrawals()'ın ardından token transferlerini gerçekleştirmek için kullandığı verileri içeriyordu.
Bu nedenle, bir saldırgan, doğrulanmamış orta bölümü manipüle edilmiş yatırma veya çekim talimatlarını içerecek şekilde zararlı bir kanıt oluşturmuş olabilir, ancak doğrulanmış bölüm geçerli kalmış ve protokolün güvenlik kontrollerini geçmiştir.
Kendi kısmında, sözleşme bu talimatların işlemeden önce doğru şekilde doğrulanmaması sonucu yetkisiz token transferleri gerçekleştirdi. Basitçe ifade edersek, doğrulanmış olan ile aslında yürütülen arasında bir uyumsuzluk vardı.
Daha fazla böyle olay
Buradaki zamanlama ilginç çünkü Raydium, beş havuzdan 1,34 milyon dolarlık kripto paraların çalınmasına neden olan eski AMM V3 programında bir kod hatası tespit etti.
Bu arada, başka bir governance ele geçirme saldırısı sonucunda bir saldırgan, bir Balancer likidite havuzundan yaklaşık 1,5 milyon dolarlık Ethereum çaldı.
Ethereum’in Alephium TokenBridge’ini hedef alan yeni bir zafiyet de son zamanlarda keşfedildi. Bu zafiyet sırasında, dört güvenli anahtardan üçü kullanılarak sahte VAAs (Doğrulanmış Eylem Onayları) imzalanarak yedi dakika içinde 815.000 dolar çekildi.
Aynı şekilde, bağımsız bir Quantstamp araştırmasına göre, Humanity Protocol, hedeflenen bir phishing saldırısını yöneticilik kimlik bilgilerinin ele geçirilmesine, sözleşmelerin yükseltilmesine, ethereum token’larının transfer edilmesine ve BNB Chain üzerinde yeni H token’larının oluşturulmasına bağladı.
Toplam Hakedilen Değer (USD), DeFiLlama verilerine göre 30 gün içinde şimdi 81,73 milyon dolara ulaştı. Yalnızca 2026 yılında 634,85 milyon dolar kaybedilirken, Nisan şimdiye kadar en yüksek değerin çekildiği ay oldu.
Son Özet
- Hata, _proofData'nın eksik doğrulanmasından kaynaklanmış gibi görünüyor.
- Bölüm, DeFi güvenlik açıklarının en sonuncusudur.