Blockchain güvenlik firması PeckShield'a göre, merkeziyetsiz borsa protokolü THORChain, 30 Ocak 2025 tarihinde bir güvenlik açığı yaşadı ve yaklaşık 9 milyon dolarlık zarara yol açtı.

Yönetici Özeti

THORChain, bir merkeziyetsiz likidite ağı, 30 Ocak 2025 tarihinde önemli bir güvenlik açığına maruz kaldı. Blockchain güvenlik firması PeckShield, yaklaşık 9 milyon dolar zarara yol açan olayı rapor etti. Saldırı, protokolün kodundaki mantık hatasından özellikle de ücret hesaplama mekanizmasını etkileyen bir açıktan faydalandı ve geliştiricilerin ağ operasyonlarını "Buz Çağı" modu olarak adlandırdıkları bir duruma geçici olarak durdurmasına neden oldu.

Detaylı Olay

Sömürü, çapraz zincir token takasları için tasarlanmış bir protokol olan THORChain'i hedef aldı. 30 Ocak 2025'te bir saldırgan, farklı blok zincirleri arasında bir köprü görevi gören THORChain'in Bifröst bileşenindeki mantık hatasını kullanarak yaklaşık 9 milyon dolar (3.000 ETH'den fazla dahil) boşalttı. Saldırgan, işlem ücretlerinin hesaplanma şeklini manipüle ederek hak ettikleri miktarın üzerinde fon çekmeyi başardı.

Özellikle, sistem, karşılık gelen bir giriş değeri olmaksızın aşırı giden işlemleri onaylamak için kandırıldı. Şüpheli işlemin tespit edilmesinin ardından THORChain çekirdek ekibi ihlali kabul etti, ağı durdurdu ve güvenlik açığını yamalamak için çalışmalara başladı. Saldırgan, bir "beyaz şapkalı" olduğunu iddia eden ve fonları iade etme potansiyelini düşündüren zincir üstü bir mesaj gönderdi. Bu olay, THORChain için ilk güvenlik ihlali değil; daha önce 2021'de 5 milyon dolarlık bir kayıp yaşamıştı.

Finansal Mekanikler ve İş Stratejisi

Sömürünün finansal mekaniği, Bifröst bileşenindeki hatalı bir ücret hesaplama mekanizması etrafında yoğunlaştı. Saldırgan, gaz ücreti mekanizmasını manipüle ederek amaçlanan mantığı atladı ve dengesiz bir işlem akışına neden oldu. THORChain, daha geniş Web3 ekosistemi içinde kritik bir işlev olan çapraz zincir token takaslarını kolaylaştıran bir merkeziyetsiz borsa olarak faaliyet göstermektedir. Bu olay, çapraz zincir köprülerinin ve bunlarla ilişkili ücret yapılarının tasarımındaki doğal karmaşıklıkları ve güvenlik açıklarını vurgulamaktadır.

İş stratejisi açısından, THORChain merkeziyetsizliği vurgulamaktadır; bu, ağ tasarımının düğümlerin üçte birinin "makehalt" komutunu etkinleştirmesi durumunda operasyonların durdurulmasına izin vermesiyle kanıtlanmaktadır. Ancak, protokol daha önce ödeme gücü riski nedeniyle borç verme özelliğini askıya alarak, gerektiğinde merkezi eylem kapasitesini göstermiştir. Güvenlik sorunlarına yanıt olarak THORChain, penetrasyon testi için güvenlik firması Halborn ile anlaşmış ve gelecekteki güvenliği artırmak için "her zaman açık" kapsamlı bir denetim yaklaşımı geliştirmektedir.

Daha Geniş Pazar Etkileri

THORChain sömürüsü, daha geniş Web3 ekosistemi için, özellikle DeFi güvenliği ve çapraz zincir köprülerinin bütünlüğü için önemli çıkarımlara sahiptir. Olay, merkeziyetsiz protokollerin güvenlik sağlamlığına ilişkin incelemelerin artmasına yol açacak ve kısa vadede yatırımcı güvenini etkileyerek THORChain ve benzeri projeler için likiditeyi ve güveni etkileyebilir. Ayrıca, karmaşık merkeziyetsiz sistemleri sofistike saldırılara karşı koruma konusunda devam eden zorluğu da vurgulamaktadır.

Ayrıca, olay, THORChain'in yasa dışı faaliyetleri kolaylaştırmadaki rolü hakkındaki tartışmaları yeniden alevlendirmektedir. Protokol, özellikle Lazarus Grubu'nun Bybit'ten çalınan fonları dönüştürmesiyle bağlantılı olarak kara para aklama için kullanıldığı suçlamalarıyla karşı karşıya kalmıştır. Bu, büyük ölçekli mali suçlar için sömürüldüğünde DeFi protokollerinin tarafsızlığı hakkında kritik sorular ortaya çıkarmaktadır. THORChain doğrulayıcıları arasında bu tür olaylara yanıt olarak ETH ticaretini durdurma konusundaki iç çatışma, merkeziyetsiz yönetimin karmaşıklıklarını daha da ortaya koymaktadır.

Merkeziyetsiz protokollerin devam eden yasa dışı kullanımı, yetkililerden daha radikal önlemleri tetikleyebilir; bu, protokol adreslerine potansiyel yaptırımlar, altyapı sağlayıcıları üzerinde baskı, tüm ağların kara listeye alınması veya geliştiricilere karşı yasal işlem içerebilir. Bu tür düzenleyici müdahaleler, THORChain'in ekosistemini önemli ölçüde etkileyebilir, potansiyel olarak RUNE tokeninin büyük borsalardan delist edilmesine ve merkeziyetsiz ethosuna aykırı olabilecek uyum önlemlerini benimseme baskısına yol açabilir.