Bitcoin’i blok zincirleri arasında taşımak için tasarlanmış bir kripto para platformu, büyük bir güvenlik ihlali yaşadı ve yaklaşık 11 milyon dolarlık dijital varlık kaybetti. Garden olarak bilinen hizmet, bitcoin’in zincirler arası bir köprü kullanılarak farklı ağlar arasında alınıp satılmasına ve aktarılmasına olanak tanıyor.
Garden’ın kurucu ortağı Jaz Gulati’ye göre ihlal, platformun likidite ve fiyatlandırma operasyonlarından sorumlu otomatik bir bileşeni olan “çözücülerinden” birini etkiledi. Gulati, ana protokolün bozulmadan kaldığını ve hiçbir müşteri fonunun doğrudan etkilenmediğini söyledi. Garden’ın çalınan fonların izini sürmek ve iç kontrolleri güçlendirmek için güvenlik ortaklarıyla birlikte çalıştığını doğruladı.
Blockchain araştırmacısı ZachXBT, istismarı zincir üzerinde tespit eden ilk kişi oldu. Garden’ın cüzdanlarından birinin ele geçirilmiş gibi göründüğünü ve projenin daha sonra saldırgana bir mesaj göndererek çalınan varlıkların iade edilmesi halinde yüzde 10 ödül teklif ettiğini bildirdi. Güvenlik firması Cyvers’taki analistler, fonların Ethereum ile takas edilmeden önce çeşitli işlemlerden hızla geçtiğini ve stablecoin’ler ve sarılmış bitcoin dahil olmak üzere diğer kripto para birimlerine dönüştürüldüğünü söyledi.
Olay, Garden’ın kilitli toplam değerde milyarlarca dolarlık bir kilometre taşını aştığını açıklamasından yalnızca birkaç gün sonra meydana geldi. Zamanlama, incelemeyi yoğunlaştırdı çünkü proje daha önce Kuzey Kore bağlantılı operatörlere bağlı kara para aklama faaliyetlerini kolaylaştırdığı için işaretlenmişti. Son istismarı bu iddialarla ilişkilendiren hiçbir kanıt olmasa da, zincirler arası köprüleme sektöründe güvenlik konusunda artan endişelere katkıda bulunuyor.
Zincirler arası köprüler, merkezi olmayan finansta dijital varlıkların blok zincirleri arasında hareket etmesine olanak tanıyan kritik bir altyapıdır. Ayrıca kripto para birimi saldırılarında en çok hedeflenen kategorilerden birini temsil ederler. Tek bir köprünün güvenliği ihlal edildiğinde saldırganlar genellikle akıllı sözleşmelerde depolanan büyük sermaye havuzlarına erişebilir. Güvenlik araştırmacıları, bu sistemlerin tasarım karmaşıklığının bilgisayar korsanları için birden fazla potansiyel giriş noktası bıraktığı konusunda defalarca uyardı.
Bu durumda araştırmacılar, zayıflığın muhtemelen protokolün temel akıllı sözleşmelerinden ziyade çözücü bileşeninden kaynaklandığını söylüyor. Öyle olsa bile olay, Garden’ın modüllerinin gerçekte ne kadar izole olduğu konusunda şüpheler uyandırıyor. Sektör analistleri, Garden’ın müşteri fonlarının etkilenmediğini iddia etmesine rağmen, bir sistem modülünü tehlikeye atma yeteneğinin hala yetersiz segmentasyon veya gözetim olduğunu gösterdiğini belirtiyor.
Bu istismar, merkezi olmayan projeler arasında şeffaflık konusundaki tartışmayı yeniden canlandırdı. Garden’ın ilk açıklamaları, ihlalin nasıl gerçekleştiğine veya hangi belirli güvenlik açıklarından yararlanıldığına ilişkin teknik ayrıntılardan yoksun olduğu için eleştirildi. Bazı yatırımcılar şirketi bağımsız bir denetim yaptırmaya ve bulgularını yayınlamaya çağırıyor. Diğerleri, önceden uyumluluk tartışmaları olan platformların bu kadar yüksek hacimli sermayeyi daha sıkı dış izleme olmadan idare edip etmeyeceğini sorguladı.
İhlal, daha geniş kripto para birimi endüstrisi için iki kalıcı zorluğun altını çiziyor: daha küçük protokollerdeki zayıf operasyonel güvenlik ve yasa dışı finansmanı takip eden düzenleyicilerin artan ilgisi. Zincirler arası köprüler, çalınan veya yaptırım uygulanan fonların yargı bölgeleri arasında taşınması için giderek daha fazla araç haline geldi ve bu da mali suç gözlemcilerinin bu hizmetlerin daha yakından denetlenmesi çağrısında bulunmasına neden oldu.
Doğrulanırsa, 11 milyon dolarlık hırsızlık, bu yıl blockchain köprülerine yönelik bir dizi yüksek profilli saldırıya eklenecek. Önceki olaylar, sarılmış bitcoin, ether ve stablecoin transferlerini gerçekleştiren benzer protokolleri hedef almış ve sektör genelinde yüz milyonlarca dolarlık birleşik kayıplara neden olmuştu.
Garden, etkilenen cüzdanları izlemeye devam ettiğini ve soruşturmalar ilerledikçe güncellemeleri paylaşacağını söyledi. Herhangi bir ek uzlaşma bildirilmemiş olsa da olay, yerleşik projelerin bile altyapılarının daha küçük bileşenlerine yönelik hedefli saldırılara karşı savunmasız kaldığının altını çiziyor.
Bu durum, merkezi olmayan finans geliştiricilerine, operasyonel risklerin temel akıllı sözleşmelerin çok ötesine uzandığına dair bir başka uyarı görevi görüyor. Zincirler arası teknoloji büyüdükçe güvenlik zorlukları da artıyor ve proaktif izleme ve şeffaf açıklama, ekosisteme olan güveni korumanın anahtarı haline geliyor.