Merkezi olmayan otonom organizasyon (DAO) topluluğu için şaşırtıcı bir açıklama, Samudaibir blok zinciri projesi olan DAO, önemli bir güvenlik ihlali yaşadı. Kurucusu Kushagra Agrawal'ın kişisel cüzdanı da dahil olmak üzere DAO'nun multisig cüzdanları ele geçirildi ve $1.25 milyon fon kaybına yol açtı.
İstismar ilk olarak, bir kişinin bir kamyonun altında kaldığını gözlemleyen izleyiciler tarafından fark edildi. şüpheli mevduat gizliliği korumak için işlemlerin kökenini gizleyen popüler bir kripto para birimi karıştırıcısı olan Tornado Cash'e yatırdı. Önemli bir meblağın bu şekilde yatırılması, daha sonra Samudai ekibi tarafından da teyit edilen endişelere yol açtı.
Olaya İlişkin Soruşturma
Soruşturma sonucunda, projenin her iki multisig adresinin yanı sıra Kushagra Agrawal'ın adresinin de saldırgan tarafından hedef alındığı tespit edildi. Multisig cüzdanlar genellikle işlemleri onaylamak için birden fazla imza sahibi gerektirir ve ekstra bir güvenlik katmanı ekler. Ancak bu vakada saldırgan bu önlemleri atlatmayı ve cüzdanların kontrolünü ele geçirmeyi başardı.
Çalınan varlıklar hızlı bir şekilde Ethereum'a (ETH) dönüştürüldü ve daha sonra Tornado Cash'e yatırıldı, bu da hizmetin anonimleştirici doğası nedeniyle fonların izini sürmeyi zorlaştırdı. Buna ek olarak, olay sırasında yaklaşık $54,000 değerinde olan 21 ETH, muhtemelen haksız kazançları nakde çevirmek amacıyla bir borsaya aktarıldı.
Samudai XYZ'nin Yanıtı
İhlale yanıt olarak Samudai'nin kurucusu Kushagra Agrawal, zincir üzerinde bir mesaj yayınlamak için blok zincirine gitti. Mesajda istismarın fail(ler)ine seslenilerek, çalınan fonların iade edilmesi halinde 10% ödül teklif edildi. DAO, teklifi kabul ederek ve çalınan varlıkların 90%'sini iade ederek, bilgisayar korsanlarının daha fazla takip veya kolluk kuvveti eylemiyle karşılaşmayacağını öne sürdü.
Kurucunun mesajında fonların gönüllü olarak iadesi için bir son tarih belirlenmiş ve teklifin 13 Kasım saat 0800 UTC'ye kadar kabul edilmemesi halinde ödülün halka açılacağı belirtilmiştir. Bu senaryoda, 10%'nin tamamı, hacker'ı yasal bir mahkumiyete yol açacak şekilde tanımlayabilecek herhangi bir kişiye teklif edilecektir.
Zincir üzerindeki mesajda ayrıca bilgisayar korsanlarının müzakere sürecini başlatmaları için [email protected] adresinde bir iletişim e-postası da belirtilmiştir. Ekip ile temasa geçen tarafların, herhangi bir görüşmenin gerçekleşebilmesi için önce zincir üzerindeki adreslerinin sahipliğini doğrulamaları gerektiği açıkça belirtilmiştir.
DAO ve DeFi Topluluğu için Çıkarımlar
Bu olay, merkeziyetsiz finans (DeFi) ekosisteminde mevcut olan güvenlik açıklarını bir kez daha gözler önüne sermiştir. Multisig cüzdanlar gibi gelişmiş güvenlik önlemlerine rağmen DAO topluluğu, varlıklarını sofistike saldırılara karşı koruma konusunda zorluklarla karşılaşmaya devam ediyor.
Samudai'nin durumu bir ödül sunarak çözme yaklaşımı yeni bir yaklaşımdır ve potansiyel olarak projelerin gelecekte benzer durumları nasıl ele alabilecekleri konusunda bir emsal teşkil etmektedir. Bu stratejinin çalınan fonların geri alınmasını sağlayıp sağlamayacağını zaman gösterecek.
Daha geniş DeFi topluluğu, yalnızca bu özel durumun sonucunu değil, aynı zamanda DAO'lar ve diğer blok zinciri tabanlı projeler için güvenlik önlemlerinin ve müdahale stratejilerinin iyileştirilmesinde çıkarılacak dersleri de şüphesiz yakından izleyecektir.