Birkaç hafta önce PancakeSwap piyango havuzundan 1.8 milyon dolar bir açıktan yararlanılarak boşaltıldı.
Binance Smart Chain üzerinde inşa edilen bazı projeler, istismar edilmeye devam ediyor. Bu istismarlardan en sonuncusu popüler merkezsiz borsa PancakeSwap’te gerçekleşti. Saldırı PancakeSwap yönetici adresine erişimi olan biri tarafından gerçekleştirildi.
PancakeSwap Saldırısı
Akıllı sözleşmelerin en büyük sorunu rastgelelik. Solidity’de doğal rastgele işlev yoktur ve tüm rastgelelik kaynakları zincir üzerinde olmalıdır. Projeler, yasal rastgelelik kaynakları oluşturmak için blok başlıkları, işlem karmaları ve daha fazlası gibi şeyler kullanır.
Bu sorun, son Meebits istismarı gibi geçmişte birçok istismarlara yol açtı. PancakeSwap piyango numaraları, öngörülebilir belirli koşullara göre oluşturuluyor. Bu nedenle saldırgan, bu bilgileri, sayıları önceden tahmin etmek için kullanabilir, böylece tüm piyango havuzunu boşaltabilir.
PancakeSwap Saldırısını Kim Neden Yaptı?
Bu içeriğin yazarı, sözleşmeyi kendileri oluşturdukları, istismarı ‘buldukları’ ve parayı kendi adreslerini kullanarak aldıkları göz önüne alındığında, PancakeSwap yöneticilerinin gerçekten de kötü bir oyun oynuyor olabileceğini kanıtlayan ayrıntılıları açıkladı.
Yönetici hesabının istismarı kullandığı ve fonları tükettiği doğru olsa da, yazarın bir yanılgısı var: bu kötü bir oyun değildi ve fonlar çalınmamıştı. Konuyla ilgili olarak PancakeSwap ekibinden resmi bir açıklama yapılmasa da, bu olay açıkça sözleşmeden fonların kaldırılması, kötü niyetli bir aktörün hatayı bulmasını ve onu istismar etmesini engelleyen beyaz şapkalı bir hacker’dı.
Bu, her şeyden önce, PancakeSwap yöneticilerinin saldırıyı gerçekleştirmek için bilinen genel adreslerini kullanmalarından anlaşılıyor. Parayı kötü bir amaçla çalmak isteselerdi, anonim bir hesap kullanırlardı. İkinci olarak, piyango havuzundan geri kazanılan fonlar, yönetici adresi tarafından toplu olarak yakılıyor.
Bir saldırı oldukça korkutucu ve asla iyiye işaret değil. Ancak PancakeSwap geliştirici ekibinin bu açığı ele alması ve çözüm getirmesi kullanıcılara güven aşıladı. Bu hamle PancakeSwap’in gerektiğinde kritik sorunları düzeltmeye istekli olduğunu gösteriyor (kullanıcı fonlarını çalarak ahlaki olarak kınanması gereken yolu önemsiz bir şekilde almış olsalar bile).