ThorChain Exploits – Üç Saldırı, Bir Ağ, 13 Milyon Dolar
Merkeziyetsiz zincirler arası takas ağı ThorChain, yalnızca bir saldırıya değil, üç ayrı istismara uğradı. Her biri farklı bir zafiyeti hedef aldı.
ThorChain, zincirler arası token takaslarını merkeziyetsiz biçimde gerçekleştirmek için tasarlanmış devrimsel bir DeFi projesiydi. Ethereum, Bitcoin, Binance Smart Chain ve diğer büyük ağlar arasında doğrudan takas yapılmasını sağlıyordu. Fakat bu karmaşık mimari, çoklu saldırılara açık hâle geldi.
İlginizi Çekebilir: PancakeBunny Hack – 200 Milyon Dolarlık Çarpıtılmış Gerçeklik
2021 yazı, ThorChain için felaket ayları oldu. Protokol, üç farklı saldırı dalgasıyla sarsıldı ve toplamda yaklaşık 13 milyon dolar kaybetti.
İlk saldırı 28 Haziran’da gerçekleşti. Saldırgan, Ethereum ağı üzerindeki bir token kontratını manipüle ederek, değerinden fazla RUNE token almayı başardı. Bifröst modülünün yanlış token kimliği kontrolü yapması nedeniyle saldırgan sahte bir ERC-20 token’ı gerçekmiş gibi gösterdi. Böylece çok düşük değere sahip token’ları yüksek değerli RUNE ile değiştirdi. Zararı: yaklaşık 140 bin dolar.
İkinci saldırı, sadece iki hafta sonra 16 Temmuz’da gerçekleşti. Bu kez saldırı daha sofistikeydi. ThorChain’in akıllı kontratlarındaki “memo” sisteminde bir açık bulundu. Saldırgan, işlem mesajlarını manipüle ederek zincirler arası swap akışında fonları saptırdı. Bu sefer kayıp 4.9 milyon dolar seviyesindeydi. ThorChain geliştiricileri hızla ağı durdurmak zorunda kaldı.
Üçüncü ve en yıkıcı saldırı ise yalnızca bir hafta sonra, 23 Temmuz’da gerçekleşti. Bu defa saldırgan, Ethereum üzerindeki bir başka zayıflıktan faydalanarak ağdaki 8 milyon dolarlık varlığı kendi cüzdanına aktardı. En dikkat çekici olan, saldırganın ardından bırakmış olduğu nottu:
“Kodunuzu test edin. Geliştirici olun. Bu zararı geri vermeyeceğim ama daha büyük zararı önledim.”
ThorChain ekibi her saldırının ardından ağı geçici olarak kapattı ve hataları düzeltmek için “chaosnet” moduna geçti. Topluluğa zararın geri ödeneceği sözünü verdi ve kısa süre sonra bir tazminat fonu oluşturdu. Ancak yaşanan olaylar, yatırımcı güvenini derinden sarstı. Cross-chain mimarilerin ne kadar karmaşık olduğu, her yeni entegre zincirin potansiyel yeni açıklar getirdiği bu olaylarla anlaşıldı.
ThorChain geliştiricileri, saldırılar sonrası güvenlik denetimlerini iki bağımsız firmaya daha yaptırdı ve sistem mimarisini yeniden tasarladı. Yeni versiyonlar daha sert kontrol mekanizmalarıyla yayınlandı. Ancak kullanıcılar, “bir daha böyle bir şey olabilir mi?” sorusunu sormaktan kendini alamadı.
ThorChain saldırıları, DeFi dünyasına şu mesajı verdi:
Bir ağ ne kadar çok zinciri birleştirirse, o kadar çok riskle karşılaşır.
Ve bu risk, sadece teknik değil, sistemik bir güvenlik krizidir.