Kapatılan DeFi protokolü Aztec Connect'e ait terk edilmiş bir akıllı sözleşme, platformun kapanmasından üç yıldan fazla bir süre sonra bu hafta 2 milyon dolar çalındı. Olay, merkeziyetsiz finans alanında kalıcı bir tehlikeyi gözler önüne seriyor: Bir sözleşme blockchain'de yayına alındıktan sonra değiştirilemez veya sonlandırılamaz, bu da proje ortadan kalktıktan sonra bile saldırganlar için sürekli bir hedef oluşturur.
Saldırı Nasıl Gerçekleşti
Saldırgan, Aztec Connect'in 2024'te faaliyetlerini durdurmasından bu yana dokunulmayan bir sözleşmeden yaklaşık 2 milyon dolar çekti. Sözleşme değişmez olduğu için —birçok DeFi protokolünün temel özelliği— kapanıştan sonra fonları kilitlemek veya işlevselliği devre dışı bırakmak için hiç kimse onu güncelleyemedi. Saldırı, bilinen bir güvenlik açığından yararlanmış veya sözleşmenin orijinal izinleri nedeniyle hâlâ erişilebilir olan fonları basitçe çekmiş gibi görünüyor.
Değişmez Sözleşmeler Neden Risk Oluşturuyor
Değişmezlik, blockchain kodunda genellikle bir güvenlik özelliği olarak övülür: Dağıtımdan sonra hiç kimse kuralları değiştiremez. Ancak aynı özellik, bir proje kapandığında bir yükümlülük haline gelir. Bir sözleşme kullanıcı fonlarını tutuyor, para çekme hakları veriyor veya diğer protokollerle etkileşime giriyorsa, bu işlevler sonsuza kadar aktif kalır. Aztec Connect'in durumu ders kitabı niteliğinde bir örnek: Ekip ayrıldı ama sözleşme çalışmaya devam etti — ve sonunda bir saldırgan onu buldu.
Çıkış Stratejilerindeki Boşluk
Saldırı, birçok DeFi projesinin kapanış planlarında eksik bir parçayı vurguluyor. Çok az protokol, akıllı sözleşmelerinin temiz ve geri döndürülemez bir şekilde devre dışı bırakılmasını tasarlıyor. Duraklatma işlevi, kendi kendini imha seçeneği (destekleniyorsa) veya geçiş mekanizması eklemek gibi basit adımlar riski azaltabilir, ancak geliştirme sırasında öngörü gerektirir. Aztec Connect'in durumunda, proje sona erdiğinde bu tür önlemler mevcut değildi.
2 milyon dolarlık kaybın telafi edilmesi pek mümkün görünmüyor. Blockchain orijinal sözleşme mantığını uyguladığı için, işlemi tersine çevirecek veya fonları geri alacak merkezi bir otorite yok. Para gitti ve saldırgan anonim kaldı.
DeFi'nin Çıkarabileceği Dersler
Düzenleyiciler ve güvenlik araştırmacıları yıllardır terk edilmiş sözleşmelerin saatli bomba oluşturduğu konusunda uyarıyor. Aztec Connect saldırısı, hareketsiz bir sözleşmenin yağmalandığı ilk örnek değil — ve muhtemelen son da olmayacak. Şimdi soru, geliştiricilerin sözleşme değişmezliğini bir proje öldükten sonra kapatılacak bir özellik olarak mı ele alacağı, yoksa kapanışları sadece bir web sitesini kapatmak olarak mı görmeye devam edeceği. Protokollerin kendi sonları için plan yapma biçiminde bir değişiklik olmazsa, benzer kayıpların yaşanması muhtemel.
