Sağlayan
Security

DeFi’nin En Yeni Tehdidi: Kötü Niyetli Likidite Havuzları, Ethereum ve Polygon Kullanıcılarını Nasıl Aldatıyor?

DeFi altyapı şirketi Enso, “toksik havuzlar” olarak adlandırılan yeni bir tür kötü niyetli likidite havuzu tespit etti. Fonları doğrudan çalan geleneksel istismar yöntemlerinden farklı olarak, bu havuzlar işlem simülasyonlarını manipüle ediyor.

PAYLAŞ
DeFi’nin En Yeni Tehdidi: Kötü Niyetli Likidite Havuzları, Ethereum ve Polygon Kullanıcılarını Nasıl Aldatıyor?

Önemli Noktalar

  • Enso’nun 16 Temmuz tarihli raporu, fiyat tekliflerini sahte gösteren ve bir Curve havuzunda on binlerce dolarlık zarara yol açan "toksik havuzları" ortaya çıkardı.
  • Bu istismar, DeFi ön uçlarını tehdit ediyor; kötü niyetli bir Uniswap v4 hook'u %99,1'lik bir arıza oranına neden oluyor.
  • Enso, 2 farklı blok zinciri ortamında sahte fiyat tekliflerini tespit etmek için Enso Shield ürününü güncelledi.

Bir "Jekyll ve Hyde" Taktiği

DeFi altyapı şirketi Enso’nun 16 Temmuz’da yayınladığı yeni araştırmaya göre, yeni ortaya çıkarılan bir tür kötü niyetli merkeziyetsiz finans (DeFi) likidite havuzları, kripto para yatırımcılarının en iyi fiyatları bulmak için güvendikleri temel altyapıyı hedef alıyor.

Şirket, bu aldatıcı yapıları “toksik havuzlar” olarak adlandırıyor. Akıllı sözleşmelerden doğrudan fon çeken tipik kripto para saldırılarının aksine, bu havuzlar işlem simülasyonlarını sistematik olarak aldatmak üzere tasarlanmıştır. Bir kripto cüzdanı veya merkeziyetsiz borsa (DEX) toplayıcısı bir simülasyon yürüttüğünde cazip ve son derece rekabetçi fiyat teklifleri sunarlar, ancak işlem blok zincirinde fiilen gerçekleştirildiği anda davranışlarını değiştirirler.

Sonuç, ince ve sistematik bir kaynak israfıdır: tüccarlar, kendilerine teklif edilenden önemli ölçüde daha kötü işlem fiyatları alırlar ya da işlemleri başarısız olur ve bu süreçte ağ ücretleri boşa harcanır.

Enso’nun kurucu ortağı ve ürün başkanı Milos Costantini, “Yaptığımız araştırma, bunun sadece münferit bir akıllı sözleşme istismarı olmadığını düşündürüyor,” dedi. “Sektör, fiyat keşfini optimize etmek için yıllarını harcadı. Bulgularımız, bir sonraki zorluğun işlem bütünlüğünü doğrulamak olduğunu gösteriyor.”

Enso’nun raporuna göre, zehirli havuzlar, cüzdanların işlemleri önizlemek için kullandığı zincir dışı “deneme” simülasyonlarını istismar ediyor. Kötü niyetli sözleşmeler, salt okunur bir simülasyon ortamında çalıştıklarını algıladıklarında yapay olarak optimize edilmiş bir fiyat döndürüyor. İşlem zincir üzerinde fiilen yayınlandığında ise havuz, matematiksel mantığını değiştirerek işlemi daha düşük bir oranla gerçekleştirir.

Güvenlik sistemlerinden gizli kalmak için bu havuzlar, dürüst ve kötü niyetli durumlar arasında geçiş yaparak statik kod tarayıcılarını ve geçmiş itibar filtrelerini etkisiz hale getirir. Bu "yem ve değiştir" tasarımı, kullanıcı deneyimini bozar ve başarısız işlemler yoluyla kullanıcıların fonlarını tüketir. Bir vaka çalışmasında, manipüle edilmiş bir Curve havuzu 37.000'den fazla geri alınmış işlemi tetikleyerek, kullanıcıları yaklaşık 30.000 dolarlık gaz ücreti harcamaya zorladı.

Saldırganlar ayrıca yeni nesil, modüler borsa mimarilerini de istismar ediyor. Polygon’da, Uniswap v4 gibi platformlarda kullanılan bir akıllı sözleşme eklentisi olan kötü niyetli bir “hook”, yönlendirme sistemlerini sahte oranlarla tuzağa düşürdükten sonra %99,1’lik bir işlem başarısızlık oranına yol açtı.

Zincir Üzeri Adli Analizden Elde Edilen Bulgular

Yaklaşık iki ay süren zincir üstü adli analizden oluşan bu araştırma, geçmiş arşiv düğümü verilerini, işlem izleme analizini ve akıllı sözleşme incelemelerini bir araya getirdi. Enso mühendisleri, önde gelen DeFi protokolleri Curve Finance ve Oku’daki irtibat kişilerinin desteğiyle, hem Ethereum hem de Polygon blok zincirlerinde faaliyet gösteren aktif zehirli havuzları tespit etti.

Ethereum üzerinde belgelenen bir vaka çalışmasında, manipüle edilmiş bir Curve havuzu 129.000'den fazla takas işlemi gerçekleştirdi. Havuz, en uygun rota gibi görünse de, teklif edilenden daha kötü bir işlem gerçekleştirerek yaklaşık 225.000 dolarlık şişirilmiş tekliflere yol açtı.

Ayrıca, Enso ekibi, aynı operatör tarafından ek havuzları desteklemek üzere dağıtılmış çok sayıda blok zinciri oracle sözleşmesi tespit etti; bu da söz konusu taktiğin belgelenen iki vakadan daha yaygın olduğunu ve zincir üzerinde varlık sızdırma için ortaya çıkan bir şablonu temsil edebileceğini gösteriyor.

Bu bulgular, DeFi ekosisteminin kullanıcıya yönelik katmanına doğrudan bir tehdit oluşturmaktadır. Popüler cüzdanlar, tüketicilere yönelik arayüzler ve agregatörler, kullanıcının işlemi için “en iyi yolu” garanti etmek amacıyla büyük ölçüde otomatik simülasyonlara güvenmektedir.

Enso'nun raporu, yönlendirme altyapısının meşru bir fiyat teklifi ile manipüle edilmiş bir teklif arasında ayrım yapamaması durumunda, ön uçların kullanıcıları bu tuzaklara yönlendirmeye devam edeceğini vurgulamaktadır. Bu durum, "en iyi yürütme" sözü verirken rutin olarak zararlı rotalar sunan cüzdan sağlayıcıları ve arayüz operatörleri için potansiyel yasal ve mali sorumluluk riskleri yaratmaktadır.

Bu tehdide yanıt olarak Enso, yürütme koruma ürünü Enso Shield’ı, özel bir zararlı havuz algılama özelliği içerecek şekilde güncellediğini duyurdu. Bu güvenlik aracı, canlı zincir içi bağlamı analiz ederek, fiyat teklifi geçmişini izleyerek ve işlem izlerini kullanarak yürütme tutarsızlıklarını tespit etmek suretiyle standart simülasyon yöntemlerini atlatacak şekilde tasarlanmıştır.

Enso, tek tek merkeziyetsiz borsaları suçlamak yerine, daha geniş kapsamlı kripto para sektörünü işlem simülasyonlarının manipülasyonu konusunda daha fazla araştırma yapmaya çağırdı.

Costantini, “Gerçek yürütme farklı bir tablo ortaya koyarken işlem simülasyonları manipüle edilebiliyorsa,” dedi, “kullanıcıların gerçekte ne aldığını doğrulamak için daha iyi yöntemlere ihtiyacımız var.”

Bu makale yapay zeka kullanılarak İngilizceden çevrilmiştir. Orijinal İngilizce sürüm yetkili kaynaktır; otomatik çeviriler, özellikle hukuki ve düzenleyici terminolojide hatalar içerebilir.