Bilal Huseynov 
zkSync Era ağı üzerinde diğer tüm blokzinciri ağları gibi merkeziyetsiz uygulamalar (dApp) bulunmaktadır. Bu uygulamalar kullanıcılarla blokzinciri ağını bir-birine bağlarlar. 2022 yılının ardından 2023 yılında da hack haberleri gelmeye devam ediyor. Bu sefer haber zkSync Era ağından geldi. Kurban ağ üzerindeki en büyük hacme sahip borçalma/verme platformu olan EraLand‘dir.
Yaklaşık 1 saat önce EraLand ağı üzerinde borçverme ve alma işlemleri askıya alındı. Aktarılan bilgilere göre, saldırganların asıl hedefi USDC havuzlarıdır. Protocol insanların iki cins kripto parayı yatırmasını mümkün kılar. Buna uygun olarak, onlar belirli bir miktarda borç alabilirler. Kullanıcılar borçverme işlemi uyguladıklarında sahip oldukları ETH ve USDC’ler EraLand’in kendine ait olan akıllı sözleşme tarafından o varlıklar havuzlara aktarılır.
Her cüzdan başına belirli miktarlarda kullanıcıların izin verme hakkı bulunmaktadır. Kullanıcılar, bu özellik sayesinde kendi varlıklarını koruyabilirler. İşte, tam da bu limit (approve) özelliği bugün gerçekleştirilen saldırıda kullanıcıların varlıklarının bir kısmını kurtarmasına yardımcı oldu.
Uygulamada Güncel Durum Ne?
İlk aktarılan verilere göre, protokol tarafında kullanıcılara ait 1.7 milyon dolar değerinde varlık kaybı yaşandı. Saldırının temel hedefi USD Coin havuzlarıdır. Ekip tarafından aktarılan bilgilere göre, şuan saldırı kontrol altına alınmış, etkisinin ölçeği daha da fazla büyümeden değerlendirilmesi yapılıyor. Ayrıca platform üzerinde tüm borçalma ve verme işlemleri askıya alınmış durumda.
BlockSec sibergüvenlik araştırmacıları tarafından gerçekleştirilen bir denetim ise EraLand’in üst-üste ikinci saldırıya maruz kalmasını belirtiyor. Bu saldırıda da platform 1.7 milyonluk kayıp yaşadı. Bununla kullanıcıların toplam kaybı 3.4 milyon dolara ulaşmış durumda. Değerlendirilme daha devam ediyor. Saldırının ölçeği ve büyüklüğü henüz tam olarak belirlenmiş durumda değil.
We are assisting @Era_Lend to this issue, and the root cause has been identified. The total loss is ~$3.4M.
Specifically, this is a read-only re-entrancy attack.
Another attack tx is:https://t.co/H4A2suVLai
Attacker address:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy— BlockSec (@BlockSecTeam) July 25, 2023
Hack’in Ağa Etkisi Var Mı?
zkSync Era ağı ve onun güvenliği ile ilgili herhangi bir ihlal söz konusu bile değil. Eraland ve benzer diğer uygulamalar merkeziyetsiz olsalar bile, hacklanma ihtimali vardır. Onları merkeziyetsiz yapan şey akıllı sözleşmelerdir. Bu sözleşmelerde sorun oluştuğunda, güvenliği ihlal edildiğinde ise tüm platform sorunlarla karşılaşabilir.
Dikkatinizi çekebilir: FED Faiz Kararı Ne Olacak?
Blokzinciri ağı ise tamamen merkeziyetsizdir. Onun güvenliğini bu sözleşmeler sağlamaz. Burada node’lar ve sequencer’lar mevcuttur. O yüzden blokzinciri ağının saldırıya uğraması ihtimalı çok düşüktür. Bunun dışında zkSync Era ağında olan ve şuan için en büyük hacme sahip uygulama SyncSwap için de hack haberleri dolaşmaktadır. Konuyla ilgili BlockSec araştırmacıları atıfta bulundular.
Alert! All projects that rely on the following Syncswap code need to be vigilant.@syncswap @zksynchttps://t.co/SBMLKdM3b6 https://t.co/OvtNhcEUOM pic.twitter.com/tqGFO6tZaT
— BlockSec (@BlockSecTeam) July 25, 2023
Konu ile ilgili yorumlarınızı bize yazabilirsiniz. Ayrıca, bu tarz bilgilendirici içeriklerin devamının gelmesini isterseniz, bizleri Telegram, Youtube ve Twitter kanallarımızdan takip edebilirsiniz.