NO Hacker EVET Portalı Son zamanlarda, @arbitrum ağında saldırıya uğrayan büyük bir DeFi platformu @GMX_IO ve yaklaşık $42 milyon varlığın çalınmasıyla sonuçlandı! 😵 @PortaltoBitcoin, bu büyük istismarın nasıl gerçekleştirildiğine dair harika bir döküm veriyor. Düşmanı yenmek için önce onları anlamalısınız! Hadi hızlıca bir göz atalım! 1️⃣ Hack nasıl gerçekleşti? GMX V1, kullanıcılar tarafından yatırılan ETH, BTC ve USDC gibi varlıkları tutan GLP adlı bir likidite havuzuna sahiptir. Bilgisayar korsanı aşağıdaki yöntemi kullandı ➡️ Yeniden giriş saldırısı Bu, terazi güncellenmeden önce bir akıllı sözleşme fonksiyonunun tekrar tekrar çağrıldığı ve birden fazla işlemin tespit edilmeden gizlice girmesine izin verdiği bir tekniktir. Saldırgan bunu kullanarak büyük miktarda sahte GLP jetonu bastı (temelde sınırsız sahte kupon basmak gibi) Bu sahte tokenler daha sonra gerçek varlıklarla (ETH, BTC, USDC) değiştirildi ve geri çekildi. 🫣 Son olarak, çalınan fonlar Ethereum ana ağı gibi diğer ağlara köprülendi. İşte söylemek için eayy Sahte makbuzlar bastılar, onları gerçek parayla değiştirdiler ve ortadan kayboldular. 2️⃣ Bu saldırı neden başarılı oldu? GMX V1, tipik bir DeFi mimarisi kullanılarak oluşturulmuştur Paylaşılan likidite havuzu: Tüm kullanıcı varlıkları tek bir sözleşmede saklanır. Mint/Burn LP token'ler: Likidite sağlamayı izlemek için kullanılır. Karmaşık zincir içi mantık: Aynı sözleşme içinde bakiyeleri, takasları, tasfiyeyi ve daha fazlasını yönetir. Bu sıkı bir şekilde bağlanmış tasarım, sistem bakiyeleri güncellemeden önce bir bilgisayar korsanının tekrarlanan aramalara gizlice girebileceği yeniden giriş saldırılarına karşı savunmasız bırakır. GMX birden fazla denetimden geçmesine rağmen, Havuzlanmış fonlar + karmaşık mantık + yeniden giriş güvenlik açığı gibi tasarım düzeyindeki riskler hala devam ediyor Dolayısıyla, denetimler hataları azaltabilse de, yapısal zayıflıkları ortadan kaldıramazlar ve bu felakete yol açan da budur. 🥲 3️⃣ Bu nasıl önlenebilirdi? Cevap, @PortaltoBitcoin'ın ne inşa ettiğinde yatıyor Atomik Takaslar Atomic Swap'ların farkı şu şekildedir: ❌ Likidite havuzu yok. ✅ Varlıklar cüzdanınızda kalır. ✅ Takas yalnızca tüm koşullar karşılandığında gerçekleştirilir. ✅ Herhangi bir şey başarısız olursa, paranız otomatik olarak iade edilir. ✅ Hiçbir sözleşmenin fon tutması veya durumu güncellemesi gerekmez Bu kurulumlarla 1⃣Soyulacak kasa yok 2⃣Sahte jeton basılamaz 3⃣Ve yeniden giriş saldırıları imkansız hale gelir Temelde bilgisayar korsanlarına karşı nihai kalkan! DeFi hack'lerinin artmasıyla birlikte, birçok proje artık bu tür bir mimariye doğru ilerliyor: Atomik takaslar, kullanıcı varlıklarının kendi kendine gözetimi ve yeniden girişe dayanıklı tasarımlar Bu yüzden gelecek @PortaltoBitcoin için çok parlak görünüyor