Roar Staking Sözleşmesinde 785.000 Dolarlık Açık

Roar projesine ait staking sözleşmesinde, bir geliştiricinin yolsuzluğu sonucu önemli bir açık ortaya çıktı. Saldırgan, 785.000 dolar değerinde $1ROR token'ı, staking havuzları başlatıldıktan hemen sonra, sözleşmedeki bir zafiyetten yararlanarak çekti. Hacken tarafından tespit edilen bu olay, uygulamanın emergencyWithdraw() fonksiyonundaki bir hata ile ilgiliydi; bu fonksiyon, ödüllerin yatırılmasından sonra 100 milyon $1ROR token'ın çekilmesine olanak sağladı.

Yapılan incelemelerde, saldırının arkasındaki kişinin, sözleşme oluşturucusuna kötü niyetli kod enjekte eden bir iç geliştirici olduğu belirlendi. Bu kod, saldırganın cüzdan adresine başlangıçta belirlenmiş bir staking miktarı tanımladı ve bu sayede token'ları başlangıçta stake etmeden çekebilmesini sağladı. Yehor Rudytsia, on-chain güvenlik araştırmacısı, olayı detaylı bir şekilde analiz etti ve saldırganın, elde ettiği token'ları ETH'ye dönüştürdükten sonra birden fazla cüzdan adresine böldüğünü belirtti. İzleri silmek için Tornado Cash kullanıldı.

Roar yetkilileri, saldırının bir dış müdahale değil, erken sürümdeki hata testleri için tasarlanmış bir süreçten yararlanan bir iç geliştirici tarafından gerçekleştirildiğini açıkladı. Saldırgan, ilk belirtilerden sonra 17 gün boyunca hareketsiz kaldı ve bu süre zarfında piyasada çalınan token'ları ETH'ye çevirerek fiyat üzerinde önemli bir etki yaratmadı. Araştırmacılar, geliştiricinin sözleşmeleri oluştururken dengeyi önceden ayarladığını ve bu sayede saldırganın çekme fonksiyonunu kontrol edebildiğini ortaya koydu.

Güvenlik uzmanları, olayın teknik bir zafiyetten ziyade, operasyonel bir açık olduğunu vurguladı. Hacken'dan Yehor Rudytsia, bireysel geliştiricilere aşırı güvenin azaltılması, net dağıtım şartlarının sağlanması, yeniden üretilebilir yapılar oluşturulması, geliştiriciler ve dağıtımcılar arasında ayrım yapılması ve denetlenen kaynak koduna uygunluğun doğrulanması gerektiğini belirtti. Ayrıca, geliştirici erişiminin bir saldırı yüzeyi olarak kabul edilmesi, kimlik bilgilerinin izlenmesi, anormalliklerin gözlemlenmesi ve sırların düz metin olarak saklanmaması gerektiğini vurguladı.