SushiSwap Miso Exploit – Bir Tek Satır, 3 Milyon Dolar
Kodun gücü büyüktür, ama bir tek satır hata, milyon dolarlık yıkımı beraberinde getirebilir. SushiSwap’ın MISO platformunda yaşanan bu olay, akıllı kontrat güvenliğinde minimal bir hatanın nasıl devasa sonuçlar doğurabileceğini gösterdi.
2021’in son çeyreğinde, merkeziyetsiz borsa SushiSwap, yeni token satışlarını desteklemek için MISO (Minimal Initial SushiSwap Offering) adını verdiği platformu tanıttı. Geliştiriciler, yeni projelerin halka arzlarını (IDO) kolay ve güvenli bir şekilde gerçekleştirmesini amaçlıyordu. Fakat bu sistem, bir noktada aşırı basitleştirilmişti.
İlginizi Çekebilir: BadgerDAO Hack – Arka Kapıdan Gelen 120 Milyon Dolarlık Sessiz Saldırı
Eylül 2021’de MISO üzerinden gerçekleşen bir token satışı, SushiSwap ekibi için kabusa dönüştü.
3 milyon dolarlık fon, görünürde herhangi bir hack olmaksızın, doğrudan saldırganın cüzdanına aktı.
Olayın ardından yapılan teknik incelemede, saldırganın MISO platformunun frontend (kullanıcı arayüzü) koduna katkıda bulunduğu ve bu katkının, içeriye bir “beyaz listedeki cüzdan” eklemesi şeklinde gerçekleştiği ortaya çıktı. O satır sayesinde, satıştan toplanan fonlar doğrudan o cüzdana yönlendirildi.
Bu durum, saldırının klasik bir “akıllı kontrat açığı” değil, bir kod katkı manipülasyonu olduğunu gösterdi. Saldırgan, GitHub üzerinden platforma katkı yapan geliştiriciler arasında yer almış ve kendi cüzdanını onaylı adres listesine sessizce eklemişti. Proje denetimden geçmişti ama bu spesifik katkı gözden kaçmıştı.
Kod bir kez deploy edildikten sonra, fon akışı zaten belirlenmişti. Katılımcılar, MISO üzerinden token satın aldıklarını sanarken, fonlar doğrudan saldırganın cüzdanına gidiyordu.
SushiSwap ekibi, olayı fark ettiğinde çok geçti.
3 milyon dolarlık Ethereum, Tornado Cash üzerinden karıştırılarak izlenemez hâle getirildi. Geri dönüş umudu kalmamıştı.
Platformun baş geliştiricisi olan 0xMaki, bu olayın ardından daha katı bir kod katkı süreci başlatacaklarını ve denetim protokollerini yeniden düzenleyeceklerini duyurdu. Fakat bu açıklamalar, güveni tekrar kazanmak için yeterli olmadı. Zira MISO, yeni projelere güvenli alan sağlama iddiasıyla çıkmıştı; ama iç katkılardan gelen tehlikeleri göz ardı etmişti.
Bu olay, Web3 dünyasında açık kaynaklı katkı süreçlerinin nasıl “içeriden” manipüle edilebileceğini gösterdi. Akıllı kontratlar ne kadar güvenli olursa olsun, kod katkıları insan eliyle denetlendiği sürece, hata payı hep vardı.
MISO saldırısı, sadece bir hatalı kod değil;
güvenlik zincirindeki insan faktörünün kırılganlığının altını çizen bir dönüm noktasıydı.