Solana hesaplı proje Nirvana Finance yeniden başladı: İlk akıllı sözleşme saldırı mahkumiyetinin hikayesi

Geçen hafta finansal piyasalardaki dinamikler dikkat çekti, ABD Merkez Bankası görece agresif bir faiz indirim politikası izledi, Japonya Merkez Bankası ise mevcut durumu korudu. Bu, kısa vadede aşırı olumsuz bilgilerin ortaya çıkmasının pek olası olmadığına işaret ediyor. Bu durumu analiz ederken, iki ana noktaya dikkat edilmesi gerekiyor: İstihdam piyasasının iyileşme durumu ve enflasyonun yeniden alevlenme riski.

Ancak dikkat çekici bir haber, Solana üzerindeki algoritmik stabilcoin projesi Nirvana Finance'in V2 versiyonunu yeniden başlatacağını duyurmasıdır. Proje, 2022 Temmuz'unda bir siber saldırıya uğrayarak 3.5 milyon dolardan fazla kayıp yaşadıktan sonra faaliyetlerini durdurmak zorunda kalmıştı. Son zamanlardaki yeniden başlatma, ilgili yargı kurumlarının çalınan fonların işlenmesini tamamlamış olabileceğini gösteriyor. Bu, akıllı sözleşmeler saldırısı nedeniyle mahkum edilen Amerika'nın ilk davası olabilir ve deniz hukuku sistemine dönüm noktası niteliğinde bir etki yapması bekleniyor, bu tür davaların işlenme verimliliğini önemli ölçüde artırabilir.

Nirvana Finance'in flash loan saldırısına uğramasının arka planı

Nirvana Finance, Solana ekosisteminde bir algoritmik stabilcoin projesidir ve 2022'nin başında başlatılmıştır. 28 Temmuz 2022'de, proje bir hacker saldırısına uğramış ve tüm stabilcoin NIRV'nin teminatı (yaklaşık 3.5 milyon dolar) çalınmıştır. Proje sözleşmesi açık kaynak olmasa da, hacker yine de bir merkeziyetsiz kredi platformunun flaş kredi işlevini kullanarak saldırıyı gerçekleştirmiştir; bu da ekibin içerden bir saldırı yaptığına dair bazı şüpheleri beraberinde getirmiştir.

Dikkate değer olan, projenin saldırıya uğramadan önce "otomatik denetim" tamamlandığını iddia etmesidir, ancak görünüşte etkili olmamıştır. Kurucu ortak Alex Hoffman, daha sonra medya ile yaptığı bir röportajda, ekibin saldırının gerçekleştiği hafta denetim çalışmalarına başlamayı planladığını açıkladı. Projenin başlangıcında bu kadar geniş bir ilgi göreceğini beklemediklerini kabul etti; Çin medyası birkaç kez haber yaptıktan sonra projenin toplam kilitli değeri (TVL) hızla arttı.

Proje ilk başarıyı elde ettikten sonra, bir kamu blockchain'inin CEO'su akıllı sözleşmelerin denetimini şahsen önerdi ve denetim sürecini hızlandırmaya çalıştı. Ancak, teminat çalındıktan sonra proje durakladı ve yalnızca sosyal medya üzerinden en az düzeyde bir faaliyet sürdürüldü. Topluluk çalınan fonları sürekli izliyor, ancak hacker'lar karıştırma araçları ve gizlilik coin'leri kullandığı için fonların geri alınması çabaları sonuçsuz kaldı.

Davada Dönüm Noktası ve Adalet Gelişimi

2023 yılının 14 Aralık'ında, davada önemli bir gelişme yaşandı. Shakeeb Ahmed adlı eski bir teknoloji devi kıdemli yazılım güvenliği mühendisi, New York Güney Bölgesi Mahkemesi'nde Nirvana Finance ve başka bir ismi açıklanmayan merkeziyetsiz kripto para borsasına yapılan siber saldırıyla ilgili bilgisayar dolandırıcılığı suçlamalarını kabul etti. ABD Savcılığı, bunun akıllı sözleşmeleri hedef alan siber saldırılardan dolayı mahkum edilen ilk vaka olduğunu belirtti.

Nirvana Finance'in kurucusu, projenin saldırıya uğramasının ardından yenilik yapmayı durdurmadı, başka projeler geliştirmeye yöneldi. 15 Nisan 2024'te, Ahmed, iki kripto para borsasını hacklemek ve dolandırıcılık yapmak suçlarından üç yıl hapis cezasına çarptırıldı. 6 Haziran'da, çalınan fonlar projeye ait belirlenen hesaba geri aktarıldı ve fonların resmi olarak geri alındığını gösterdi.

Olay Kaynağı ve Hacker Kimliği

Aslında, tüm davanın kaynağı başka bir merkeziyetsiz borsa olmalı, Nirvana Finance ise hackerın yakalanmasından sonra ortaya çıkan ek bir dava. Ahmed o zamanlar uluslararası bir teknoloji şirketinde kıdemli güvenlik mühendisiydi, akıllı sözleşmeler ve blockchain denetimi konusunda uzmanlaşmıştı, yazılım tersine mühendislikte de uzmandı. Bu, Nirvana'nın açık kaynak olmadan da neden saldırıya uğradığını açıklıyor.

Amerika Birleşik Devletleri Adalet Bakanlığı tarafından yayınlanan belgelere göre, dava başlangıçta 2022 Temmuz ayında yaklaşık 9 milyon dolar kayba uğrayan bir merkeziyetsiz borsa saldırısından kaynaklanıyor. Ahmed, bu platforma bir flash loan saldırısı düzenleyerek "beyaz şapka ödülü" teklifi sundu.

Ahmed'in tutuklanmasının anahtarı muhtemelen iki noktada yatıyor: birincisi, saldırganın bazı merkezi borsa adresleriyle etkileşime girmesi; ikincisi ise karıştırma aracının kullanımında yapılan hatalar, bu da fon akışının izlenebilir hale gelmesine neden oldu. Bu, adli makamların merkezi borsalarla iş birliği yaparak sonunda New York'ta onu yakalayabileceğini ima ediyor.

Bu davanın başarılı bir şekilde çözülmesi sadece DApp geliştiricileri için bir güvenlik alarmı çalmadı, aynı zamanda benzer davaların işlenmesine de bir referans sağladı ve ilgili yasa dışı davranışlar üzerinde caydırıcı bir etkisi olması bekleniyor.