Giriş
Uranium Finance kripto borsa platformu, bir hacker tarafından iki kez saldırıya uğradı ve bu saldırılar sonucunda 53 milyon dolardan fazla varlık çalındı. Bu olay, siber güvenlik önlemlerinin ve kripto para havuzlarının ne kadar kritik olduğunu bir kez daha gözler önüne serdi.
Saldırı Nasıl Çalışıyor?
36 yaşındaki Jonathan Spalletta, Nisan 2021’de Uranium Finance platformuna yaptığı ilk hack’te CVE kodlarına sahip bir zafiyetten faydalandı. İlk saldırısında, Uranium’un akıllı sözleşme kodunda bulunan bir hatayı kullanarak AmountWithBonus değişkenini suistimal etti. Bu suistimal sonucunda, sahte “bug bounty” vaadi ile yaklaşık $1.4 milyon değerinde likidite havuzunu boşalttı.
Üç hafta sonra, 28 Nisan’da gerçekleşen ikinci saldırısında, tek karakterlik bir kodlama hatasını kullandı. Bu hata, Uranium’un işlem onaylama mantığını 10,000 yerine 1,000 olarak değerlendirmesine neden oldu. Böylece, $53.3 milyon değerinde varlığı 26 farklı likidite havuzundan çaldı ve borsa kapatılmak zorunda kaldı.
Etkilenen Sistemler
Uranium Finance, bu saldırılardan etkilenen merkezi olmayan bir kripto para borsa platformudur. Aşağıdaki versiyon numaraları ve teknik detaylar, platformun güvenlik açığını belirlemek için önemlidir:
- CVE kodu: Belirtilmemiş
- İlk saldırı tarihi: 8 Nisan 2021
- İkinci saldırı tarihi: 28 Nisan 2021
- Çalınan miktar: Yaklaşık $53.3 milyon
Çözüm ve Korunma
Kurban edilen Uranium Finance platformu, güvenlik açıklarını kapatmak için acil önlemler almalıdır. Aşağıdaki adımlar, benzer saldırıların önlenmesine yardımcı olabilir:
- Akıllı sözleşmelerin kodunun gözden geçirilmesi ve zafiyetlerin giderilmesi
- Olay sonrası analiz yaparak güvenlik politikalarının güncellenmesi
- İkinci denetim mekanizmalarının oluşturulması
- Yedekleme ve kurtarma planlarının güçlendirilmesi
Ayrıca, kullanıcıların dikkatli olması ve platformların güvenlik düzeylerini sorgulamaları önemlidir.
Sonuç
Jonathan Spalletta’nın hack girişimleri, mevcut güvenlik açıklarının ciddiyetini ortaya koyuyor. Etkili bir korunma sağlamak için, kripto para kullanıcıları ve platformlarının güvenlik düzeylerini derhal güncellemeleri ve olası zafiyetlere karşı uyanık olmaları gerekmektedir. Mevcut güvenlik yapılandırmalarını gözden geçirin, yazılım güncellemelerini gerçekleştirin ve potansiyel saldırılara karşı sistemleri güçlendirin.
