Vulcan Forged Hack – Seed Phrase Felaketi
Birçok kullanıcının cüzdanı tek bir noktada yönetiliyordu. Bu merkezi yapı, 140 milyon dolarlık bir güvenlik krizine dönüştü.
Vulcan Forged, 2021 yılı itibarıyla NFT tabanlı oyun ve metaverse projeleri arasında yükselen yıldızlardan biriydi. Fantastik evren temalı blokzincir oyunları, kendi yerel token’ı PYR, NFT marketplace’i ve kullanıcıya özel cüzdan hizmetleriyle birçok yatırımcının ve oyuncunun dikkatini çekti. VulcanVerse, Agora ve diğer projeleriyle, yalnızca bir oyun platformu değil, bir ekosistem inşa etmeye çalışıyorlardı.
İlginizi Çekebilir: Grim Finance Hack – Vault’ları Çökerten Kod Hatası
Bu büyüme stratejisinin önemli bir ayağı da kullanıcı deneyimiydi. Yeni gelenler, teknik bilgiye sahip olmasalar bile kolayca sisteme dahil olabilsin diye Vulcan Forged, kullanıcı cüzdanlarını kendisi oluşturuyordu. Her kullanıcıya özel bir “MyForge Wallet” atanıyor, bu cüzdanların tüm seed phrase’leri merkezi bir sunucuda şifrelenmiş biçimde saklanıyordu. Bu yöntem, kullanıcıya konfor sağlıyordu ama blokzincir felsefesine taban tabana zıt bir yapıydı.
Aralık 2021’de bu sistemin ne kadar tehlikeli olduğu ortaya çıktı. Saldırganlar, Vulcan Forged’un bu merkezi sunucusuna erişim sağladı. Buradaki şifreli seed phrase verilerini ele geçirerek, kullanıcıların cüzdanlarına doğrudan ulaştılar. Yaklaşık 96 yüksek değerli cüzdan boşaltıldı. Toplam kayıp, o günün piyasa değerleriyle yaklaşık 140 milyon dolar civarındaydı.
Saldırı herhangi bir kod hatasından kaynaklanmamıştı. Akıllı kontratlar değil, altyapının merkezi doğası hedef alınmıştı. Saldırganlar özel anahtarları elde ettikleri için işlemler zincir üstünde tamamen meşru görünüyordu. Fonlar birden fazla cüzdana aktarıldı, ardından karıştırıcı protokoller aracılığıyla izleri silindi.
Vulcan Forged ekibi, saldırıyı hızlı şekilde kabul etti. Kısa süre içinde kullanıcıları bilgilendiren bir açıklama yayınladılar ve kayıpların bir kısmını karşılayacaklarını duyurdular. Ancak zarar büyüktü. PYR token hızla değer kaybetti. Ekosistem dâhilindeki oyunların kullanıcı sayısı birkaç gün içinde %70 oranında düştü. NFT marketplace neredeyse durma noktasına geldi.
Topluluk öfkeliydi. Blokzincir dünyasında "not your keys, not your coins" (anahtarın senin değilse, coin senin değildir) sözü neredeyse bir slogan hâline gelmişken, bu temel ilkenin tamamen çiğnenmiş olması büyük bir tepkiye yol açtı. Projenin merkezi cüzdan yönetim sistemine olan güven yok oldu. Bazı kullanıcılar, bireysel olarak yasal yollara başvurdu.
Vulcan Forged, saldırının ardından “tamamen merkeziyetsiz cüzdan yapısına geçileceğini” duyurdu. Ayrıca bazı yatırımcılar için zarar telafisi amaçlı yeni token dağıtımları planlandı. Ancak ne itibar tamir edilebildi, ne de kullanıcıların çoğu platforma geri döndü.
Bu olay, yalnızca Vulcan Forged için değil, tüm oyun tabanlı blokzincir projeleri için uyarı niteliği taşıyordu. Kullanıcı deneyimini artırmak adına güvenlikten feragat etmek, sonunda projeyi yok edebilecek kadar büyük bir zayıflık oluşturabiliyordu.
Vulcan Forged hack’i, blokzincir tarihine "kodu değil, yapısı zayıf sistemlerin" en pahalı örneklerinden biri olarak geçti.