Bir saldırgan Echo Protocol’de nasıl 1.000 yetkisiz eBTC bastı?

Bitcoin odaklı DeFi platformu Echo Protocol, bir saldırganın protokolün Monad dağıtımında yaklaşık 1.000 yetkisiz eBTC tokeni basmasının ardından bir güvenlik açığı yaşadı.

Blokzincir güvenlik firması PeckShield ve zincir üstü analiz platformu Lookonchain’e göre, saldırgan merkeziyetsiz kredi piyasaları üzerinden değer çıkarmaya çalışmadan önce yaklaşık 76,7 milyon USD (yakl. ₺3,4 milyar) tutarında sentetik Bitcoin tokeni oluşturdu.

Echo Protocol daha sonra "Monad üzerinde Echo köprüsünü etkileyen bir güvenlik olayı"nı araştırdığını doğruladı ve soruşturma süresince tüm zincirler arası işlemlerin askıya alındığını belirtti.

Monad eş-kurucusu Keone Hon, X üzerinde Monad ağının kendisinin normal çalıştığını ve ele geçirilmediğini açıkladı.

Güvenlik araştırmacıları ve blokzincir geliştiricileri daha sonra olayı, geliştirici "Marioo" tarafından söz konusu edildiği üzere akıllı sözleşme kodundaki bir hata yerine ele geçirilmiş yönetici kimlik bilgilerine bağlı operasyonel bir başarısızlığa indirgedi.

Geliştiricinin açıklamasına göre eBTC sözleşmesi amaçlandığı gibi çalıştı, ancak zayıf erişim kontrolü önlemleri saldırganın idari izinleri ele geçirmesine olanak tanıdı.

İstismar nasıl gerçekleşti

Zincir üstü araştırmacılar, saldırganın önce Echo’nun eBTC sözleşmesinde kendine DEFAULT_ADMIN_ROLE atadığını, ardından cüzdanına MINTER_ROLE vererek temelsiz yeni tokenler oluşturma yetkisi sağladığını söyledi.

Basım ayrıcalıklarını güvence altına aldıktan sonra saldırganın görünür bir yönetici rolünü zincir üstünde tutmamak için kendi yönetici izinlerini kaldırdığı bildirildi.

Bu kontrollerle saldırgan, kağıt üzerinde yaklaşık 77 milyon USD (yakl. ₺3,4 milyar) değerinde 1.000 eBTC tokeni bastı.

Ancak Monad ekosistemindeki sınırlı likidite, saldırganın varlıkların çoğunu merkeziyetsiz borsalar aracılığıyla doğrudan dönüştürmesini engelledi.

Bunun yerine, Onchain Lens tarafından paylaşılan veriler ve Lookonchain, saldırganın teminat olarak Curvance adlı DeFi kredi protokolüne yaklaşık 45 eBTC yatırdığını, bunun da kabaca 3,5 milyon USD (yakl. ₺153,5 milyon) değerinde olduğunu gösterdi.

Bu mevduata karşılık saldırganın yaklaşık 11.29 wrapped Bitcoin (WBTC) ödünç aldığı ve bunun yaklaşık 867.700 $ değerinde olduğu bildirildi.

Ödünç alınan WBTC’yi Ethereum’a köprüledikten sonra istismarcı varlıkları ETH’ye çevirdi ve birden fazla zincir üstü takip hesabına göre yaklaşık 384–385 ETH’yi kripto karıştırıcı Tornado Cash’e transfer etti.

Lookonchain ve DeBank verileri, saldırganın hâlâ yaklaşık 73 milyon USD (yakl. ₺3,2 milyar) değerinde 955 eBTC’yi kontrol ettiğini gösterse de, DefiPrime kurucusu Nick Sawinyh bir paylaşımında kalan tokenlerin Monad’in DeFi likidite derinliği sahte arzı absorbe edemediği için fiilen kullanılamaz olduğunu belirtti.

Marioo ayrıca tek imzalı yönetici rolü kullanımı, bir timelock mekanizmasının yokluğu, basım limiti veya oran sınırlayıcının olmaması ve Curvance üzerinde yeni basılmış eBTC için teminat uygunluğu kontrollerinin eksik olmasının saldırının etkisini artıran güvenlik zayıflıkları olduğunu işaret etti.

Protokoller zararı sınırlamak için hamle yaptı

İstismar ilerledikçe Curvance, Echo eBTC pazarında bir "anormallik" tespit ettiğini ve soruşturmalar sürerken etkilenen kredi pazarını durdurduğunu açıkladı.

Protokol, kendi akıllı sözleşmelerinin ihlal edildiğine dair herhangi bir işaret olmadığını ve izole pazar mimarisinin diğer kredi havuzlarına sıçramayı engellediğini belirtti.

Hon’a göre güvenlik araştırmacıları gerçekleşen zararları kabaca 816.000 $ olarak tahmin etti; bu, yetkisiz basımın kağıt üzerindeki değerinin çok altında çünkü sahte eBTC arzının çoğu elden çıkarılamadı.

Bitcoin likidite toplama, likit staking, restaking ve çoklu zincirlerde getiri üretimine odaklanan Echo Protocol, yönetici kimlik bilgilerinin nasıl ele geçirildiğini henüz açıklamadı.

Protokol, soruşturma ilerledikçe resmi kanallar aracılığıyla ilave güncellemeler paylaşılacağını söyledi.

Olay, yılın başından bu yana kayda geçen DeFi istismarları listesine eklendi.

Daha önce Invezz tarafından bildirildiği üzere, KelpDAO köprü altyapısı gelişmiş bir RPC zehirlenmesi ve dağıtık hizmet reddi saldırısında (DDoS) ele geçirildi ve bunun sonucunda büyük bir 292 milyon USD (yakl. ₺13 milyar) istismarı yaşandı.