On-chain güvenlik firması PeckShield'e göre, bir Alchemix protokolü kullanıcısı, bir saldırganın daha önce onaylanmış kötü niyetli bir sözleşmeyi istismar etmesi sonucu yaklaşık 1 milyon dolar değerinde getiri sağlayan token kaybetti. Kullanıcının yvWETH pozisyonunu hedef alan saldırı, merkeziyetsiz finansta (DeFi) token onaylarıyla ilişkili güvenlik risklerinin maliyetli bir hatırlatıcısı oldu.
PeckShield analistleri X üzerindeki bir gönderide, "Saldırı, kullanıcının kötü niyetli bir sözleşmeye (0x143a) ön onay vermesi nedeniyle mümkün oldu. Bu sözleşme, saldırganın kullanıcının tüm pozisyonunu transfer etmek için kullandığı rastgele bir çağrı yürütme güvenlik açığı içeriyordu" dedi.
Güvenlik açığı Alchemix veya Yearn Finance protokollerinin kendisinde değil, kullanıcının ayrı ve kötü niyetli bir sözleşmeyle etkileşimindeydi. Kullanıcı, bu sözleşmeye tokenlarını harcama onayı vererek, saldırganın daha sonra fonları boşaltmak için kullandığı bir güvenlik açığı oluşturdu. Bu tür istismarlar, kullanıcıların çeşitli uygulamalarla etkileşime girmek için genellikle geniş izinler verdiği DeFi'de tekrarlanan bir tema haline geldi.
Bu olay, büyük protokollerin kod denetimlerinin ötesine geçen kritik bir kullanıcı tarafı güvenlik sorununu vurguluyor. Kripto güvenliğinde odak noktasının çoğu protokol düzeyindeki istismarlar veya fiziksel saldırılar üzerinde olsa da, en büyük ve en tutarlı kayıp kaynağı genellikle kimlik avı ve eski onaylar dahil olmak üzere cüzdan hijyeni ve kullanıcı hatalarından kaynaklanıyor.
Token Onayları 700 Milyon Dolarlık Bir Sorun Olmaya Devam Ediyor
Token onayları, akıllı sözleşmelerin takas, stake etme veya borç verme gibi faaliyetler için kullanıcının varlıklarıyla etkileşime girmesine izin vererek Ethereum gibi zincirlerdeki DeFi'nin temel bir parçasıdır. Ancak, bir onay iptal edilmezse süresiz olarak aktif kalır ve kötü niyetli veya güvenliği ihlal edilmiş bir sözleşmenin kullanabileceği kalıcı bir izin belgesi oluşturur. Bir cüzdanın bir dApp'in ön ucundan bağlantısını kesmek, bu on-chain izinleri iptal etmez.
Güvenlik firması CertiK'in 2025 tarihli bir raporuna göre, kötü niyetli onayları da içeren bir kategori olan kimlik avı saldırıları yaklaşık 723 milyon dolarlık kayba neden oldu. Alchemix olayı, bu risk faktörünün doğrudan bir örneğidir. Yield farming veya ticarete odaklanan kullanıcılar tarafından genellikle göz ardı edilen titiz cüzdan yönetimi ihtiyacını vurgular.
En iyi güvenlik uygulamaları çoklu cüzdan yaklaşımını önerir: dApp'lerle nadiren etkileşime giren uzun vadeli depolama için bir cüzdan, günlük faaliyetler için ayrı bir "sıcak cüzdan" ve yeni veya güvenilmeyen uygulamalar için üçüncü bir deneysel cüzdan. Ayrıca kullanıcılar, artık kullanmadıkları sözleşmeler için aktif onayları incelemek ve iptal etmek için düzenli olarak araçlar kullanmalıdır.
Sonuç
Alchemix ile ilgili 1 milyon dolarlık kayıp, bireysel güvenlik uygulamalarının protokol düzeyindeki güvenlik kadar hayati olduğunun çarpıcı bir göstergesidir. Olay, Alchemix'in kendisinin hacklenmesi değil, kötü niyetli bir aktöre izin veren tek bir kullanıcıya yönelik hedefli bir saldırıydı. Kullanıcının sürekli tetikte olması gerektiğini pekiştiriyor. Herhangi bir işlemi imzalamadan önce kullanıcılar sözleşme adresini doğrulamalı, verilen izinleri anlamalı ve on-chain risk yüzeylerini minimize etmek için onayları iptal etme rutini benimsemelidir.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
