Foom Cash, Son Yaşanan İstismardan Kaybolan 1.84 Milyon Doları Geri Aldı

Bir BEYAZ şapkalı hacker, Foom Cash'in son bir istismarda çalınan 1.84 milyon doları geri almasına yardımcı oldu. Sıfır-bilgi kanıtları ile inşa edilen merkeziyetsiz ve anonim piyango protokolü, yakın zamanda platformdan 2.26 milyon dolar çalan bir istismarcı tarafından saldırıya uğradı.

Bu olay, akıllı sözleşme dağıtımıyla ve birçok gizlilik odaklı Web3 projesinin arkasındaki teknik karmaşıklıkla ilişkili riskler hakkında endişeleri artırdı. Platform Pazartesi günü resmi olarak, platformdan çalınan tüm fonların yaklaşık %81'ini temsil eden 1.84 milyon doları geri almayı başardığını duyurdu. Geri alma, daha fazla hasar meydana gelmeden devreye giren bir beyaz şapkalı hacker ve bir güvenlik firmasının hızlı hareketi sayesinde mümkün oldu. Foom Cash'e göre, Duha olarak bilinen etik bir hacker, güvenlik açığını keşfetti ve kötü niyetli aktörler bu açıktan yararlanmadan önce fonları Base ağı üzerinde hızla güvence altına aldı.

Aynı zamanda, kripto güvenlik platformu Decurity, Ethereum üzerindeki kurtarma sürecini yönetti ve protokolün varlıklarının büyük bir kısmını geri almasına yardımcı oldu.

Protokol, güvenlik açığını tespit edip güvence altına aldığı için Duha'ya 320.000 dolarlık bir ödül verdi. Decurity'ye de kurtarma operasyonundaki rolü için 100.000 dolarlık bir güvenlik ücreti ödendi. Halka açık bir yanıtta Duha, Foom Cash'i hata ödül politikasına saygı duyduğu ve üzerinde anlaşılan ödülü onurlandırdığı için övdü. Hacker, ekibin bu şekilde protokol güvenliğini ciddiye aldığını ve merkeziyetsiz blok zinciri sistemlerini korumaya yardımcı olan araştırmacılara değer verdiğini gösterdiğini söyledi.

2.26 Milyon Dolarlık Foom Cash İstismarının Arkasındaki Hata

Paylaşılan detaylara göre, istismar, platformun 2. Aşama güvenilir kurulum süreci sırasında yapılan ölümcül bir dağıtım hatasına kadar takip edildi.

Bu süreç tipik olarak, işlemlerin herhangi bir hassas bilgiyi açığa çıkarmadan doğrulanmasına izin veren sıfır-bilgi kanıtlarını destekleyen kriptografik sistemin bir parçasıdır. Ekibe göre, dağıtım süreci sırasında kritik bir komut satırı arayüzü (CLI) adımı yanlışlıkla atlandı. Bu hata nedeniyle, gama (γ) ve delta (δ) olarak bilinen belirli kriptografik parametreler uygun şekilde rastgele hale getirilmedi ve bunun yerine varsayılan değerlerinde kaldı.

Bu teknik hata, saldırganın protokolün gizlilik sistemi tarafından korunması gereken tüm fonları çekmesi için bir açıklık yarattı. Olay, dağıtım sırasındaki küçük hataların bile merkeziyetsiz finans (DeFi) alanında büyük mali kayıplara yol açabileceğini gösteriyor.

Çeviri: SteelSamurai