BadgerDAO Hack – Arka Kapıdan Gelen 120 Milyon Dolarlık Sessiz Saldırı
Kimi saldırılar kod açıklarıyla yapılır. Kimi saldırılar ise... klavyeye sessizce yerleştirilen bir tuşla. BadgerDAO'nun yaşadığı felaket, ikinci türdendi.
2021 yılının Aralık ayında DeFi yatırımcıları için tatsız bir sürpriz vardı. BadgerDAO, Bitcoin’i Ethereum ağına entegre eden ve DeFi yatırımlarına BTC likiditesi sağlayan önde gelen projelerden biriydi. Ancak sistemin en zayıf noktası, akıllı kontratlar veya oracle hatası değil... kullanıcı arayüzüydü.
İlginizi Çekebilir: Fei Protocol & Rari Capital Hack – 80 Milyon Dolarlık Birleşik Felaket
1 Aralık günü, birçok kullanıcı BadgerDAO web arayüzü üzerinden işlemler yaparken, cüzdanlarında tuhaf bir izin onayı penceresi belirdi. Standart “approve” işlemlerine benzeyen bu talep, normal görünüyordu. Ancak onay verdiklerinde, arka planda işler karanlık bir şekilde ilerlemeye başladı.
Saldırganlar, BadgerDAO’nun frontend (kullanıcı arayüzü) koduna zararlı bir satır yerleştirmişti. Bu satır, belirli adreslerden gelen işlemleri hedef alıyor ve cüzdanların içeriğini boşaltabilecek izni alıyordu. Kullanıcı bu isteği onayladığında, farkında olmadan saldırganın adresine tam erişim yetkisi vermiş oluyordu.
Bu sessiz saldırı günlerce sürdü. Sistem içinden kimse sorunun kaynağını fark edemedi. Kullanıcılar yavaş yavaş fonlarının çekildiğini bildiriyordu. Sonunda durum anlaşıldı:
Bir frontend saldırısı yapılmıştı.
Bu saldırı doğrudan akıllı kontratlara değil, web sitesine yapıldığı için kontratlar denetimden geçse bile işe yaramıyordu. Kötü amaçlı kod, Badger’ın CDN altyapısına sızarak yerleştirilmişti. Bu da gösteriyor ki, merkeziyetsiz finans uygulamaları ne kadar zincir üstü olsa da, web altyapısı hâlâ merkezi zayıflık noktasıydı.
Sonuç: yaklaşık 120 milyon dolar değerindeki kullanıcı fonları, saldırganın cüzdanına aktarıldı. İçerik oluşturucular, DAO yöneticileri ve geliştiriciler olaydan hemen sonra sistemi durdurdu. Saldırının kaynağına dair detaylı teknik analiz yayımlandı. Ancak fonların büyük kısmı çoktan karıştırıcı protokollere gitmişti.
Saldırı sonrası, kullanıcıların pek çoğu "niçin bu onayı verdiklerini" sorguladı. Gerçek şu ki, Web3 kullanıcı deneyimi henüz bu tür sosyal mühendislik saldırılarına karşı hazırlıklı değildi. Onay kutuları, arka planda neyi yetkilendirdiğini net biçimde gösteremiyor, kullanıcılar da alışkanlıkla onay veriyordu.
BadgerDAO daha sonra kayıpları telafi etmek için sigorta fonlarını devreye aldı ve saldırıdan etkilenen kullanıcılar için tazmin programı oluşturdu. Ancak itibar büyük ölçüde zedelendi.
Bu olay şu dersi verdi:
Kodlar güvenli olabilir ama tarayıcıdan gelen tehlike en ölümcül olanıdır.
Ve DeFi, yalnızca blokzincirlerle değil, tarayıcılarla da korunmalı.