yETH sonsuz mint atağına uğradı! 3 milyon dolar ETH Tornado Cash Kara Para Aklama'ya akıdı.

Yield Farming protokolü Yearn Finance saldırıya uğradı ve bu durum, Yearn Ether (yETH) ürünündeki sıvı kazıklama Token'larının çalınmasına yol açtı. yETH fon havuzu, özenle tasarlanmış bir açıkla boşaltıldı; program, tek bir işlemle neredeyse sonsuz sayıda yETH Token'ı mintleme gerçekleştirdi. Bu işlem sonucunda 1000 ETH (yaklaşık 3 milyon dolar) Tornado Cash karıştırma protokolüne gönderildi.

Sonsuz mintleme açığına yönelik hassas saldırı yöntemleri

(kaynak: Etherscan)

Blockchain verileri, yETH fon havuzunun açıkça titizlikle tasarlanmış bir açık programı ile boşaltıldığını gösteriyor. Bu program, tek bir işlemi kullanarak neredeyse sınırsız sayıda yETH Token'ı mintleme işlemi gerçekleştirdi ve böylece fon havuzunu boşalttı. Yearn Ether (yETH), popüler sıvı kazıklama Token'larını (LST) tek bir Token'da bir araya getirerek kullanıcıların tek bir varlık aracılığıyla çeşitli LST'lerden gelir elde etmelerini sağlıyor. Ancak, bu tasarımın karmaşıklığı saldırganlara fırsat sunuyor.

Saldırganların bir açık aracılığıyla sınırsız yETH mintleme yeteneğine sahip olduğu görünüyor. Bu “sınırsız mintleme” saldırısı, DeFi alanındaki en ölümcül açık türlerinden biridir ve saldırganların normal teminat gereksinimlerini atlayarak, havadan token yaratmalarına olanak tanır. Normalde, kullanıcılar yETH almak istediklerinde, karşılığında belirli bir miktarda Likidite sıvı kazıklama token'ı teminat olarak yatırmaları gerekir. Ancak, saldırganlar akıllı sözleşme kodundaki mantık açığını keşfetti ve buna karşılık gelen teminat sağlamadan büyük miktarda yETH mintleme yeteneğine sahip oldular.

Blockchain verileri, saldırının birkaç yeni dağıtılan akıllı sözleşmeyi içerdiğini göstermektedir, bunların bazıları işlem tamamlandıktan sonra kendiliğinden yok olmaktadır. Bu yöntem son derece sinsi olup, saldırganın yüksek düzeyde teknik yeteneklere ve akıllı sözleşmelerin çalışma mekanizmasına derin bir anlayışa sahip olduğunu göstermektedir. Geçici akıllı sözleşmeler dağıtarak saldırıyı gerçekleştirdikten sonra bu sözleşmeleri hemen yok ederek, saldırgan saldırı yolunu gizlemeye ve sonrasında analiz ve fon geri alma zorluğunu artırmaya çalışmaktadır.

Sonsuz mintleme saldırısının üç aşamalı süreci

Birinci Aşama: Saldırı Sözleşmesinin Dağıtılması - Saldırgan, yETH mintleme mantık açığını kullanan kod içeren birden fazla özenle tasarlanmış akıllı sözleşme dağıtır.

İkinci Aşama: Sonsuz mintleme gerçekleştirin - Bu sözleşmeleri tek bir işlemle çağırarak, teminat kontrol mekanizmasını atlayarak büyük miktarda yETH Token mintleyin.

Üçüncü Aşama: Kanıtları Yok Et - Saldırı tamamlandıktan sonra, geçici olarak dağıtılan akıllı sözleşmeyi hemen yok et, saldırı yöntemini ve mantığını örtbas etmeye çalış.

Bu siber saldırı en erken X kullanıcısı Togbe tarafından keşfedildi. Togbe, The Block'a yaptığı açıklamada, büyük miktarda transferleri izlerken bu belirgin saldırıyı fark ettiğini söyledi. “Net transfer verileri, yETH süper mintlemenin saldırganların fon havuzunu boşaltarak yaklaşık 1000 ETH kazandığını gösteriyor,” diye yazdı Togbe bir mesajda. “Diğer ETH'ler de feda edildi ama yine de kar elde ettiler.”

Togbe'nin keşfi, blok zincirinin şeffaflığının iki ucu keskin bir özelliğini vurguladı. Bir yandan, tüm işlemler kamuya açık ve incelenebilir, bu da topluluk gözetimini mümkün kılıyor. Öte yandan, saldırganlar bu şeffaflığı, protokoldeki zafiyetleri incelemek için kullanabiliyor. “Diğer ETH'ler feda edildi” ifadesi, saldırganların saldırı yöntemlerini geliştirirken muhtemelen birçok test gerçekleştirdiklerini, bu testlerde bazı fonların kaybedildiğini ancak sonunda yine de büyük miktarlarda varlığı başarıyla çekebildiklerini ima ediyor.

Tornado Cash para aklama yollarının izlenmesi zorluğu

Bu işlem, 1000 ETH'nin (mevcut fiyatla yaklaşık 3 milyon dolar değerinde) Tornado Cash karıştırma protokolüne gönderilmesine yol açtı. Tornado Cash, Ethereum üzerindeki en tanınmış karıştırma hizmetidir; birden fazla kullanıcının fonlarını bir araya getirerek blok zinciri işlemlerinin izlenebilirliğini kırar. Fonlar Tornado Cash'e girdiğinde, nihai akışını izlemek son derece zorlaşır; bu da hackerların ve kara para aklayıcıların bu hizmeti tercih etmesinin nedenidir.

Tornado Cash'ın çalışma mekanizması, sıfır bilgi kanıtı teknolojisine dayanmaktadır. Kullanıcılar, ETH'lerini Tornado Cash'in akıllı sözleşmesine yatırarak bir şifreli belge alırlar. Daha sonra, kullanıcılar bu belgeyi kullanarak herhangi bir adresten eşit miktarda ETH çekebilirler ve blok zincirinde depozit adresi ile çekim adresi doğrudan ilişkilendirilemez. Saldırgan, 1000 ETH'yi Tornado Cash'e parça parça yatırarak, çekim adreslerini sayısız hatta yüzlerce farklı adrese dağıtabilir, bu da yasaları uygulayan organlar ve analiz şirketlerinin izlemelerini zorlaştırır.

Önemli bir nokta, Tornado Cash'in kendisinin 2022 yılının Ağustos ayında ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yaptırıma tabi tutulduğudur; bu hizmetin ABD'de kullanılması yasadışı bir eylem olarak görülmektedir. Ancak, Tornado Cash, Ethereum üzerinde dağıtılmış bir akıllı sözleşme olarak dağıtılmış ve değiştirilemez bir koda sahip olduğundan, yaptırımlar bu hizmeti gerçekten kapatamamıştır. Saldırganlar, yasalarla ilgili riskleri umursamıyor gibi görünmektedir veya belki de karıştırma işleminin sağladığı anonimlik avantajının potansiyel yasal sonuçlardan daha fazla olduğunu düşünüyorlardır.

Blockchain analiz şirketleri, fonları izlemek için aşağıdaki yöntemleri deneyebilir: Tornado Cash'ten çekilen ETH'nin sonraki akışını izlemek, merkezi borsa veya diğer tanınabilir varlıklarla olası bağlantılar aramak; saldırganların işlem kalıplarını ve zaman damgalarını analiz ederek diğer bilinen saldırılarla benzerlikler aramak; gas ücretlerini ödemek için kullanılan ETH'nin kaynağını izlemek, çünkü saldırganların karışık işlemler ve para çekme işlemleri için “temiz” ETH kullanması gerekmektedir. Ancak deneyimli saldırganlar genellikle çok katmanlı karıştırma ve zaman gecikmesi stratejileri uyguladığından, bu izleme yöntemlerinin başarı oranı önemli ölçüde düşmektedir.

Yearn Finance'in güvenlik geçmişi ve tarihsel dersleri

Toplam kaybın ne kadar olduğu henüz net değil, ancak saldırıdan önce yETH havuzunun değeri yaklaşık 11 milyon dolardı. Yearn, X üzerinde şunları yazdı: “yETH LST stablecoin havuzunu içeren bir olayı araştırıyoruz. Yearn Vaults (V2 ve V3 dahil) etkilenmedi.” Bu açıklama, kullanıcıları yatıştırmaya çalışıyor ve temel ürün Yearn Vaults'ın güvenliğinin zarar görmediğini, kaybın yalnızca yETH gibi görece yeni bir ürünle sınırlı olduğunu vurguluyor.

Ancak bu, Yearn Finance'in güvenlik olayıyla karşılaştığı ilk kez değil. 2021'de, Yearn Finance bir siber saldırıya uğradı ve yDAI cüzdanı 11 milyon dolar kaybetti, hackerlar 2.8 milyon doları çaldı. O saldırı, bir tek işlemde fiyat oracle'larını manipüle ederek kazanç sağlamak için flash loan saldırı yöntemini kullandı. 2023 Aralık'ta, bu protokol, bir hata scriptinin bir cüzdan pozisyonunun %63 kaybetmesine neden olduğunu bildirdi, ancak kullanıcı fonları etkilenmedi.

Yearn Finance güvenlik olayı zaman çizelgesi

2021: yDAI kasası, flash loan saldırısına uğradı, 11 milyon dolar kayıp, hacker 2.8 milyon dolar kazandı

2023 Aralık: Hata skripti nedeniyle kasa bölümünde %63 kayıp (kullanıcı fonları etkilenmedi)

2025 Yılı: yETH, sınırsız mintleme saldırısına uğradı, yaklaşık 3 milyon dolar Tornado Cash'e girdi.

Bu tekrar eden güvenlik olayları, Yearn Finance'in kod denetimi ve güvenlik süreçlerine dair soru işaretleri doğurdu. DeFi protokollerinin maruz kaldığı saldırı riski zaten yüksek olmasına rağmen, üç büyük güvenlik olayı, sistematik bir güvenlik yönetimi sorunu olabileceğini gösteriyor. Yearn'in kurucusu Andre Cronje, 2020 yılında bu projeyi kurdu ve iki yıl sonra projeden ayrıldı. Cronje'nin ayrılışı, projenin teknik liderliği ve güvenlik kültürü üzerinde bir etki yaratmış olabilir.

DeFi kullanıcıları için bu saldırı, akıllı sözleşme risklerinin gerçekliğini bir kez daha vurguladı. Yıllardır faaliyet gösteren olgun protokoller olan Yearn gibi projelerde bile, keşfedilmemiş açıklar olabilir. Kullanıcılar, DeFi protokollerine katılırken, protokolün güvenlik denetim kayıtlarını, geçmiş güvenlik olaylarını, kod karmaşıklığını ve ekibin yanıt verme yeteneğini değerlendirmelidir. Tüm fonları tek bir platformda yoğunlaştırmak yerine birden fazla protokole dağılmış yatırım yapmak, akıllı sözleşme risklerini azaltmanın önemli bir stratejisidir.