Blokcheyn asosida ishlovchi markazlashmagan birjalar (DEX) to‘plovchisi «SwapNet» (DEX to‘plovchisi), katta miqdordagi zararli xujum natijasida taxminan 16,8 million dollarlik kriptovalyuta aktivlarini yo‘qotdi. Hujum markazlashmagan moliya – «DeFi» sohasida smart shartnoma (aqlli shartnoma) orqali amalga oshirildi.
Bu voqea tokenlarni tasdiqlash va uchinchi tomon marshrutlovchi shartnomalar bilan bog‘liq xavfsizlik muammolarining doimiyligidan dalolat beradi. Markazlashmagan moliya – «DeFi» sohasida bunday muammolar hali ham mavjud.
Onlayn blokcheyn asosidagi DEX (markazlashmagan birja) agregatori SwapNet 16,8 million AQSh dollari miqdoridagi xakerlik hujumiga uchradi
«PeckShield» (xavfsizlik kompaniyasi) ma’lum qilishicha, hujumchi «SwapNet» bilan bog‘liq faoliyatni, ya’ni «0x» (markazlashmagan birja to‘plovchisi ishlab chiquvchisi) jamoasi yaratgan «Matcha Meta» orqali amalga oshiriladigan harakatlarni nishonga olgan.
«Base» tarmog‘ida hujumchi 10,5 million AQSh dollari miqdoridagi USDC tokenlarini taxminan 3 655 ta «Efirium» tokeniga almashtirdi. So‘ngra bu mablag‘larni «Efirium» tarmog‘iga o‘tkazdi (ko‘prikdan o‘tish orqali). Bu usul tez-tez ishlatiladi va mablag‘larni aniqlash va qaytarib olish ishlarini qiyinlashtiradi.
«Matcha Meta» (markazlashmagan birja to‘plovchisi) ta’kidlashicha, muammo ularning asosiy infratuzilmasidan kelib chiqmagan. Asosan, 0x kompaniyasining «Bir martalik tasdiqlash» (One-Time Approval) tizimidan voz kechgan foydalanuvchilar zarar ko‘rgan. Bu xavfsizlik funksiyasi uzoq muddatli token ruxsatlarini cheklash uchun mo‘ljallangan edi.
Ushbu funksiyani o‘chirib qo‘ygan foydalanuvchilar, xususan «SwapNet» routeri (marshrutlovchisi) kabi agregator shartnomalariga to‘g‘ridan-to‘g‘ri ruxsat bergan. Natijada aynan shu imkoniyat hujum yo‘li bo‘lib xizmat qilgan.
««SwapNet» bilan bog‘liq hodisadan xabardormiz. Bu xatarga Matcha Meta’dan foydalanuvchi va “Bir martalik ruxsat”ni o‘chirib tashkil qilgan foydalanuvchilar duchor bo‘lishgan bo‘lishi mumkin», — deyiladi «Matcha Meta»ning ijtimoiy tarmog‘i X’dagi rasmiy bayonotida.
Platforma bildirganidek, «SwapNet» (DEX to‘plovchisi) jamoasi bilan hamkorlik qilinmoqda. Tergov davom etayotgan paytda jabrlangan shartnomalar vaqtincha o‘chirib qo‘yilgan.
Ogohlantirish tarzida, «Matcha Meta» foydalanuvchilariga 0x’ning «Bir martalik tasdiqlash»dan tashqaridagi agregatorlarga berilgan barcha ruxsatnomalarni zudlik bilan bekor qilishni tavsiya qildi.
Platforma, ayniqsa, «SwapNet» routeri (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) uchun berilgan ruxsatlarni eng avval bekor qilish lozimligini ta’kidladi. Aks holda, ekspluatatsiya to‘xtatilganidan keyin ham, ba’zi hamyonlar xavf ostida qolishi mumkin.
DeFi (Markazlashmagan moliya) xavfsizligidagi muvozanatlar: qulaylik va xavfsizlik orasidagi tanlov kuchayib borayotgan aqlli shartnomalar ekspluatatsiyasi fonida
Ushbu voqea markazlashmagan moliyada (DeFi) qulaylik va xavfsizlik o‘rtasidagi doimiy muvozanat muammosini ko‘rsatadi. «Bir martalik tasdiqlash» tizimi har bir tranzaksiyani alohida tasdiqlashni talab qiladi va bu usul doimiy hujum xatarlari yuzaga kelishini kamaytiradi. Biroq bu, ko‘p tranzaksiya amalga oshiradigan foydalanuvchilar uchun qiyinchilik (noqulaylik) keltirib chiqaradi.
Cheksiz ruxsatlar esa tezkorlikni oshiradi, lekin shu bilan birga, shartnomalarga foydalanuvchi mablag‘lariga doimiy kirish imkonini beradi. Agar ushbu shartnomalar buzilsa, u holda foydalanuvchi aktivlari xavf ostida qoladi.
Hozircha «SwapNet» tomonidan texnik hisobot yoki zarar ko‘rgan foydalanuvchilarga qanday yordam berilishi haqida ma’lumot berilmadi. Bu holatda javobgarlik masalasi va yo‘qotilgan mablag‘larni qaytarib olish imkoniyati ochiq qolmoqda.
Ishonchli va aniq ma’lumotlarning bo‘lmasligi tufayli, markazlashmagan moliyada tasdiqlash amaliyotlari hamda aggregatsiya tizimlaridagi integratsiyalar yanada ko‘proq e’tiborga olinadi va tahlil qilinadi.
Yana bir Efirium ekspluatatsiyasi tekshirilmagan va ochiq bo’lmagan aqlli shartnomalarning xavfliligini ko‘rsatdi
Ushbu buzilish, kriptovalyuta bozori va DeFi sohasida smart shartnomalarga jinoyatchilar tomonidan uyushtirilgan boshqa hujumlar hamda xavfsizlik hodisalari fonida sodir bo‘ldi.
Xuddi shu kuni mustaqil xavfsizlik tekshiruvchisi «Pashov» boshqa bir «Efirium» bosh zanjirida 37 ta WBTC (tokenlashtirilgan Bitkoin), qiymati 3,1 million dollardan ko‘proq bo’lgan aktivlarni oʻgʻirlash bo‘yicha yangi xatolikni aniqladi.
Bu holat, atigi 41 kun oldin ishlab chiqilgan, yopiq manba kodi (ochiq bo‘lmagan kod)ga ega bo‘lgan shartnoma bilan bog‘liq edi. Shartnomada odamlar o‘qiy olmaydigan bayt-kod ishlatilgan va bu shartnoma jamoatchilik tomonidan tekshirilmagan.
Ushbu voqealar ko‘rsatadiki, DeFi sohasida xakerlar uchun haligacha ko‘plab imkoniyatlar mavjud. Ularning asosiylari quyidagilar:
- Tasdiqlanmagan kod
- Doimiy ruxsatlar
- Murakkab marshrutlovchi qatlamlar
Yillar davomida olib borilgan xavfsizlik tekshiruvlari va yaxshilanishlarga qaramay, DeFi (markazlashmagan moliya) hali ham muayyan strukturaviy muammolarni yenga olmagan. Bu esa ishlab chiquvchilar va foydalanuvchilar zimmalariga qulaylik hamda xavfni muvozanatlashtirish kabi katta javobgarlikni yuklaydi. Bozor barqarorligi, investitsiyalar barqarorligi, kelajak barqarorligi uchun har bir muhim qadam ehtiyotkorlik bilan tashlanishi zarur.
