Nirvana Finance Yeniden Başlatıldı: Akıllı Sözleşmeler Saldırısı Sonucu İlk Mahkumiyet Davası
Geçen hafta birçok önemli olay gerçekleşti; bunlar arasında Federal Rezerv'in nispeten agresif faiz indirim kararı ve Japon Merkez Bankası'nın hareketsiz kalması, kısa vadede aşırı olumsuz bilgilerin ortaya çıkmasının pek olası olmadığını gösteriyor. Bu makroekonomik gelişmeler hakkında piyasa zaten yeterince tartışma yaptı, bu nedenle burada tekrar etmeyeceğiz. Dikkate değer olan, yatırımcıların iki ana faktöre odaklanması gerektiğidir: istihdam piyasasının toparlanma durumu ve enflasyonun yeniden alevlenme riski.
Ancak dikkat çekici bir haber, Solana ekosistemindeki algoritmik stabilcoin projesi Nirvana Finance'ın V2 versiyonunu yeniden başlatacağını duyurmasıdır. Proje, Temmuz 2022'de bir siber saldırıya uğrayarak 3.5 milyon doların üzerinde kayıp yaşadıktan sonra faaliyete son vermek zorunda kalmıştı. Şimdi ki yeniden başlatma, ilgili yargı kurumlarının çalınan fonların işlemlerini tamamlamış olabileceğini gösteriyor. Bu olay, Amerika Birleşik Devletleri'nde bir akıllı sözleşmeler saldırısı nedeniyle mahkumiyet ile sonuçlanan ilk dava olma potansiyeline sahip olup, common law ülkeleri için önemli bir anlam taşımaktadır. Gelecekte benzer davaların işlenme süreçlerinin önemli ölçüde iyileşmesi bekleniyor.
Nirvana Finance'in flash kredi saldırısına maruz kalmasının arka planı
Nirvana Finance, Solana blok zincirinde bir algoritmik stabilcoin projesidir. Proje 2022'nin başında başlatıldı, ancak aynı yılın 28 Temmuz'unda bir siber saldırıya uğradı ve bu saldırı sonucunda stabilcoin NIRV için tüm teminat (yaklaşık 3.5 milyon dolar) çalındı. Projenin akıllı sözleşmeleri açık kaynak olmasa da, saldırganlar bir borç verme platformunun flash kredi özelliğini kullanarak saldırıyı başarıyla gerçekleştirdi ve bu durum, bazı iç tehdit spekülasyonlarını da beraberinde getirdi.
Dikkate değer bir nokta, projenin saldırıya uğramadan önce "otomatik denetim" tamamladığını iddia etmesiydi, ancak bu uygulamanın güvenilir olmadığı ortaya çıktı. Projenin kurucu ortağı Alex Hoffman, medya ile yaptığı bir röportajda, saldırının gerçekleştiği hafta ekibin resmi denetim çalışmalarına yeni başladığını belirtti. Başlangıçta projenin bu kadar geniş bir dikkat çekeceğini tahmin etmediklerini kabul etti ve bazı medya raporlarının toplam kilitli değer (TVL) üzerinde büyük bir artışa neden olduğunu söyledi. Bu durum, o dönemde algoritmik stabilcoin alanının dikkat çektiği bir bağlamda nadir değildir.
Projede ilk başarı elde edildikten sonra, bir blockchain platformunun CEO'su ekibi akıllı sözleşmelerin denetimini yapmaları için bizzat denetlemeye başladı ve denetim sürecini hızlandırmaya çalıştı. Ancak, teminat çalındıktan sonra proje duraklama aşamasına girdi, buna rağmen topluluk platformunda hala resmi personel görev yapmaya devam etti.
Olay, 14 Aralık 2023'te bir dönüm noktasına ulaştı. Daha önce bir teknoloji devinde çalışmış kıdemli yazılım güvenlik mühendisi Shakeeb Ahmed, New York Güney Bölge Mahkemesi'nde Nirvana Finance ve başka bir merkeziyetsiz kripto para borsa ile ilgili bir siber saldırı nedeniyle bilgisayar dolandırıcılığı suçlamalarını kabul etti. ABD Savcılık Ofisi, bu durumun akıllı sözleşmeler nedeniyle mahkumiyetle sonuçlanan ilk dava olduğunu belirtti.
Proje kurucuları saldırıya uğradıktan sonra yenilik yapmayı bırakmadı, bunun yerine superposition finance ve concordia systems gibi diğer projeleri geliştirdi. Bu da belirli bir anonimlik sürdürmenin avantajlarını gösteriyor, en azından olumsuz duyguların yayılmasını engelliyor.
15 Nisan 2024'te karar açıklandı ve Shakeeb Ahmed, iki kripto para borsasını hacklemek ve dolandırmaktan üç yıl hapis cezasına çarptırıldı. Daha sonra, 6 Haziran'da, çalınan fonlar belirlenen hesaba geri aktarıldı ve bu da projenin çalınan fonlarının resmi olarak geri alındığını işaret etti.
Davanın kaynağı: Crema Finance'dan Nirvana Finance'a
Aslında, bu davanın kaynağı başka bir merkeziyetsiz borsa olan Crema Finance olmalıdır. Nirvana Finance, hacker yakalandıktan sonra gönüllü olarak ortaya çıktı.
Shakeeb Ahmed, 34 yaşında bir yazılım güvenlik mühendisidir ve saldırıyı gerçekleştirirken uluslararası bir teknoloji şirketinde kıdemli güvenlik mühendisi olarak görev yapıyordu. Akıllı sözleşmeler ve blockchain denetimi konusunda uzmanlaşmıştır. Yazılım tersine mühendislikte uzmandır, bu da Nirvana'nın açık kaynak olmayan sözleşmesinin neden saldırıya uğradığını açıklamaktadır. Tersine mühendislik teknikleri, derlenmiş yürütme kodunu insan tarafından okunabilir yüksek seviyeli bir dile dönüştürmeye olanak tanır; sözleşme açık kaynak olmasa da, tüm derlenmiş kodlar blockchain üzerinde saklanır ve bu teknikle tanışık olan geliştiriciler kolayca erişebilir.
Amerika Birleşik Devletleri Adalet Bakanlığı'nın kamuya açık belgelerine göre, bütün davanın kaynağı, Temmuz 2022'de saldırıya uğrayan ve yaklaşık 9 milyon dolar kaybeden merkeziyetsiz borsa Crema Finance'tir. 4 Temmuz 2022'de, Ahmed bu platforma bir flaş kredi saldırısı düzenledi ve diğer kullanıcıların varlıklarının iade edilmesi ve kovuşturmaya gitmemesi karşılığında 2,5 milyon dolarlık "beyaz şapka ödülü" teklif etti. Sonunda, Crema Finance yaklaşık 1,68 milyon dolarlık "ödülü" kabul etmeyi kabul etti.
Nirvana Finance'in saldırısı, Ahmed'in tutuklanmasının ardından gönüllü olarak itiraf edilmiştir. Kişisel bilgisayarındaki tarayıcı geçmişinin incelenmesinin yanı sıra, belgede fon akışını gizlemek için karıştırma protokolleri, gizlilik paraları gibi çeşitli yöntemler kullandığı da belirtilmiştir.
Peki, Ahmed sonunda nasıl yakalandı? İki olası açıklama var:
Saldırı gerçekleştiği sırada zincir üzerindeki analize göre, saldırganın belirli bir merkezileşmiş borsa adresiyle etkileşimi var, çünkü saldırı adresinin başlangıç fonları buradan kaynaklanıyor.
Ahmed, belirli bir gizlilik protokolünü kullanırken hata yapmış olabilir. Bu protokolün karıştırma etkisi, yatırılan fonların süresi ve bu süre zarfında gerçekleşen geri çekim işlemlerinin sayısıyla ilgilidir. Ahmed, saldırıdan kısa bir süre sonra bu protokole fon yatırdı ve kısa süre içinde geri çekim yaptı; sonuçta fonlar başka bir merkezi borsa akışına girdi.
Bu ipuçları, kolluk kuvvetlerinin bu merkezi borsalarla işbirliği yaparak nihayetinde New York'ta Ahmed'i tutuklamış olabileceğini göstermektedir.
Her halükarda, çalınan fonların geri alınması olumlu bir sonuçtur. Bu durum, iki önemli sorunu öne çıkarmaktadır: Öncelikle, DApp geliştiricileri fon güvenliğini birincil öncelik olarak görmelidir; ikincisi, bu tür vakalar için artık bir işlem referans şablonu bulunmaktadır, bu da benzer davranışlar üzerinde bir caydırıcı etki yaratabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
12 Likes
Reward
12
6
Repost
Share
Comment
0/400
MeaninglessGwei
· 16h ago
Uzun yaşamak Nirvana'nın da ayağa kalkabileceğini mi görmek?
View OriginalReply0
ForkTrooper
· 16h ago
Şükrediyorum, dikkatli oldum.
View OriginalReply0
ProxyCollector
· 16h ago
Çöp sol hala ölmemiş mi?
View OriginalReply0
ForkItAllDay
· 16h ago
Görünüşe göre hacker'lar da bir gün düşecek.
View OriginalReply0
HorizonHunter
· 16h ago
Bu sadece 3 milyon dolarlık bir miktar, blok zincir projeleri için dişlerimin arasına bile yetmez.
View OriginalReply0
FUD_Vaccinated
· 16h ago
Belli ki yeniden doğmak için acele ediyorsun, gerçekten ölümden korkmuyorsun.
Nirvana Finance yeniden başlatıldı: akıllı sözleşmeler saldırısının ilk mahkumiyet davası gün yüzüne çıktı
Nirvana Finance Yeniden Başlatıldı: Akıllı Sözleşmeler Saldırısı Sonucu İlk Mahkumiyet Davası
Geçen hafta birçok önemli olay gerçekleşti; bunlar arasında Federal Rezerv'in nispeten agresif faiz indirim kararı ve Japon Merkez Bankası'nın hareketsiz kalması, kısa vadede aşırı olumsuz bilgilerin ortaya çıkmasının pek olası olmadığını gösteriyor. Bu makroekonomik gelişmeler hakkında piyasa zaten yeterince tartışma yaptı, bu nedenle burada tekrar etmeyeceğiz. Dikkate değer olan, yatırımcıların iki ana faktöre odaklanması gerektiğidir: istihdam piyasasının toparlanma durumu ve enflasyonun yeniden alevlenme riski.
Ancak dikkat çekici bir haber, Solana ekosistemindeki algoritmik stabilcoin projesi Nirvana Finance'ın V2 versiyonunu yeniden başlatacağını duyurmasıdır. Proje, Temmuz 2022'de bir siber saldırıya uğrayarak 3.5 milyon doların üzerinde kayıp yaşadıktan sonra faaliyete son vermek zorunda kalmıştı. Şimdi ki yeniden başlatma, ilgili yargı kurumlarının çalınan fonların işlemlerini tamamlamış olabileceğini gösteriyor. Bu olay, Amerika Birleşik Devletleri'nde bir akıllı sözleşmeler saldırısı nedeniyle mahkumiyet ile sonuçlanan ilk dava olma potansiyeline sahip olup, common law ülkeleri için önemli bir anlam taşımaktadır. Gelecekte benzer davaların işlenme süreçlerinin önemli ölçüde iyileşmesi bekleniyor.
Nirvana Finance'in flash kredi saldırısına maruz kalmasının arka planı
Nirvana Finance, Solana blok zincirinde bir algoritmik stabilcoin projesidir. Proje 2022'nin başında başlatıldı, ancak aynı yılın 28 Temmuz'unda bir siber saldırıya uğradı ve bu saldırı sonucunda stabilcoin NIRV için tüm teminat (yaklaşık 3.5 milyon dolar) çalındı. Projenin akıllı sözleşmeleri açık kaynak olmasa da, saldırganlar bir borç verme platformunun flash kredi özelliğini kullanarak saldırıyı başarıyla gerçekleştirdi ve bu durum, bazı iç tehdit spekülasyonlarını da beraberinde getirdi.
Dikkate değer bir nokta, projenin saldırıya uğramadan önce "otomatik denetim" tamamladığını iddia etmesiydi, ancak bu uygulamanın güvenilir olmadığı ortaya çıktı. Projenin kurucu ortağı Alex Hoffman, medya ile yaptığı bir röportajda, saldırının gerçekleştiği hafta ekibin resmi denetim çalışmalarına yeni başladığını belirtti. Başlangıçta projenin bu kadar geniş bir dikkat çekeceğini tahmin etmediklerini kabul etti ve bazı medya raporlarının toplam kilitli değer (TVL) üzerinde büyük bir artışa neden olduğunu söyledi. Bu durum, o dönemde algoritmik stabilcoin alanının dikkat çektiği bir bağlamda nadir değildir.
Projede ilk başarı elde edildikten sonra, bir blockchain platformunun CEO'su ekibi akıllı sözleşmelerin denetimini yapmaları için bizzat denetlemeye başladı ve denetim sürecini hızlandırmaya çalıştı. Ancak, teminat çalındıktan sonra proje duraklama aşamasına girdi, buna rağmen topluluk platformunda hala resmi personel görev yapmaya devam etti.
Olay, 14 Aralık 2023'te bir dönüm noktasına ulaştı. Daha önce bir teknoloji devinde çalışmış kıdemli yazılım güvenlik mühendisi Shakeeb Ahmed, New York Güney Bölge Mahkemesi'nde Nirvana Finance ve başka bir merkeziyetsiz kripto para borsa ile ilgili bir siber saldırı nedeniyle bilgisayar dolandırıcılığı suçlamalarını kabul etti. ABD Savcılık Ofisi, bu durumun akıllı sözleşmeler nedeniyle mahkumiyetle sonuçlanan ilk dava olduğunu belirtti.
Proje kurucuları saldırıya uğradıktan sonra yenilik yapmayı bırakmadı, bunun yerine superposition finance ve concordia systems gibi diğer projeleri geliştirdi. Bu da belirli bir anonimlik sürdürmenin avantajlarını gösteriyor, en azından olumsuz duyguların yayılmasını engelliyor.
15 Nisan 2024'te karar açıklandı ve Shakeeb Ahmed, iki kripto para borsasını hacklemek ve dolandırmaktan üç yıl hapis cezasına çarptırıldı. Daha sonra, 6 Haziran'da, çalınan fonlar belirlenen hesaba geri aktarıldı ve bu da projenin çalınan fonlarının resmi olarak geri alındığını işaret etti.
Davanın kaynağı: Crema Finance'dan Nirvana Finance'a
Aslında, bu davanın kaynağı başka bir merkeziyetsiz borsa olan Crema Finance olmalıdır. Nirvana Finance, hacker yakalandıktan sonra gönüllü olarak ortaya çıktı.
Shakeeb Ahmed, 34 yaşında bir yazılım güvenlik mühendisidir ve saldırıyı gerçekleştirirken uluslararası bir teknoloji şirketinde kıdemli güvenlik mühendisi olarak görev yapıyordu. Akıllı sözleşmeler ve blockchain denetimi konusunda uzmanlaşmıştır. Yazılım tersine mühendislikte uzmandır, bu da Nirvana'nın açık kaynak olmayan sözleşmesinin neden saldırıya uğradığını açıklamaktadır. Tersine mühendislik teknikleri, derlenmiş yürütme kodunu insan tarafından okunabilir yüksek seviyeli bir dile dönüştürmeye olanak tanır; sözleşme açık kaynak olmasa da, tüm derlenmiş kodlar blockchain üzerinde saklanır ve bu teknikle tanışık olan geliştiriciler kolayca erişebilir.
Amerika Birleşik Devletleri Adalet Bakanlığı'nın kamuya açık belgelerine göre, bütün davanın kaynağı, Temmuz 2022'de saldırıya uğrayan ve yaklaşık 9 milyon dolar kaybeden merkeziyetsiz borsa Crema Finance'tir. 4 Temmuz 2022'de, Ahmed bu platforma bir flaş kredi saldırısı düzenledi ve diğer kullanıcıların varlıklarının iade edilmesi ve kovuşturmaya gitmemesi karşılığında 2,5 milyon dolarlık "beyaz şapka ödülü" teklif etti. Sonunda, Crema Finance yaklaşık 1,68 milyon dolarlık "ödülü" kabul etmeyi kabul etti.
Nirvana Finance'in saldırısı, Ahmed'in tutuklanmasının ardından gönüllü olarak itiraf edilmiştir. Kişisel bilgisayarındaki tarayıcı geçmişinin incelenmesinin yanı sıra, belgede fon akışını gizlemek için karıştırma protokolleri, gizlilik paraları gibi çeşitli yöntemler kullandığı da belirtilmiştir.
Peki, Ahmed sonunda nasıl yakalandı? İki olası açıklama var:
Saldırı gerçekleştiği sırada zincir üzerindeki analize göre, saldırganın belirli bir merkezileşmiş borsa adresiyle etkileşimi var, çünkü saldırı adresinin başlangıç fonları buradan kaynaklanıyor.
Ahmed, belirli bir gizlilik protokolünü kullanırken hata yapmış olabilir. Bu protokolün karıştırma etkisi, yatırılan fonların süresi ve bu süre zarfında gerçekleşen geri çekim işlemlerinin sayısıyla ilgilidir. Ahmed, saldırıdan kısa bir süre sonra bu protokole fon yatırdı ve kısa süre içinde geri çekim yaptı; sonuçta fonlar başka bir merkezi borsa akışına girdi.
Bu ipuçları, kolluk kuvvetlerinin bu merkezi borsalarla işbirliği yaparak nihayetinde New York'ta Ahmed'i tutuklamış olabileceğini göstermektedir.
Her halükarda, çalınan fonların geri alınması olumlu bir sonuçtur. Bu durum, iki önemli sorunu öne çıkarmaktadır: Öncelikle, DApp geliştiricileri fon güvenliğini birincil öncelik olarak görmelidir; ikincisi, bu tür vakalar için artık bir işlem referans şablonu bulunmaktadır, bu da benzer davranışlar üzerinde bir caydırıcı etki yaratabilir.