Uyarı hiçbir dramadan geldi. Basın bülteni tiyatrosu yok, optiği düzeltmek için yatırımcı görüşmesi yok. HypurrFi sadece kullanıcılarına dedi: platformu kullanmayı bırakın. Web sitesiyle temas kurmayın. Borç verme protokolüne dokunmayın. Alan adları ve DNS sunucularının mimarisinin bir yerinde bir şeyler ters gitmişti — ve henüz hiç kimse tam olarak ne kadar ters gittiğini bilmiyordu.
İşte bu, DeFi çağında alan adı ele geçirilmesinin nasıl gerçekleştiği. Akıllı sözleşmelerin kendisi hacklenmiş değil (o da oluyor tabi). Herhangi bir dikkatsiz balina’nın çalınan özel anahtarı değil. Bunun yerine, saldırganlar kullanıcıların fonlarına erişmek için kullanan gerçek web adresinin kontrolünü ele geçirdiler. Kötü amaçlı kod enjekte edebilirler, mevduatları cüzdanlarına yönlendirebilirler, ya da gerçek operatörler ne olduğunu anlamaya çalışırken platformun kimliğini taklit edebilirler.
Neden Bu Seslendiği Gibi Daha Kötü
En korkutucu kısım? Bu saldırı vektörü neredeyse prehistorik. Alan adı ele geçirilmesi yeni bir sıfır gün açığı değil. Kayıtçı düzeyinde sosyal mühendislik — hosting sağlayıcılarını alan adlarını transfer etmeye ikna etmek, şifre sıfırlamalarından yararlanmak, ele geçirilmiş kimlik bilgilerini kullanmak. Yine de işe yarıyor. Hâlâ düzenli olarak işe yarıyor. Ve ciddi platformları yine de hazırlıksız yakalıyor.
“HypurrFi, olası bir alan adı ele geçirilmesini araştırırken kullanıcılarını web sitesi ve borç verme platformuyla etkileşim kurmamaya karşı uyardı.”
Bu cümle ihtiyacınız olan tüm kafa karışıklığını içeriyor. Bir protokol, güvenli olduğunu düşündüğünüz platform aslında düşman olabilir diye sana söylemek zorunda kalıyor. Altyapı katmanı — sıkıcı ve görünmez olması gereken şey — saldırı yüzeyine dönüştü.
DeFi’nin Temeli Gerçekten Güvenli mi?
Doğrudan konuşalım. DeFi üç yıldır merkeziyetsizlik ve güvenilmezlik tarafından övülürken, merkezileştirilmiş alan adı kayıtçılarına tamamen bağımlı kaldı. Dünyanın en sağlam akıllı sözleşmesine sahip olabilirsin, ama bir saldırgan DNS kayıtlarını bir kimlik avı klonuna işaret ettirebilirse, hiçbiri önemli olmaz. Kullanıcı deneyimi darboğazı bir güvenlik darboğazı haline geliyor.
HypurrFi de bilinmeyen bir protokol değil. Bu gerçek kullanıcıları, gerçek sermayesi olan bir borç verme platformu. Ve yine de: alan adı ele geçirilmesi. 2024’te. Kripto borsalarını 2013’ün karanlık çağlarından beri vuran aynı saldırı.
Ormeler tekrarlı çünkü işe yarıyor. Bir saldırgan alan adına bağlı e-posta hesaplarına erişim sağlıyor. Kayıtçıda şifre sıfırlaması talep ediyor. Meşgul bir çalışan kontrol etmeden onaylıyor. Kayıtçı transferi işliyor. Dakikalar içinde, siteyi ziyaret eden kullanıcılar akıllı sözleşmeler yerine suçlularla konuşuyor. Gerçek HypurrFi ekibi sosyal medya kaosunun içine uyanıyor.
Bu Gelişirken Paranız Ne Oluyor?
Bu tamamen hijackerların ne kadar agresif olduğuna bağlı. En iyi senaryo: çaldırıyı hemen fark ettiler ve saldırganlar protokolü boşaltmadan önce herkesin dışını kilitlediler. Orta senaryo: mevduatlar yönlendirildi ama çekilişler yine de çalıştı (bazı kullanıcılar kaçabildiler). En kötü senaryo: saldırganlar pozisyonları tasfiye etmek ya da mevduatı pompalamak için uyarı verilmeden önce bir pencereye sahiptiler.
HypurrFi’nin sessiz kalmak yerine kamuya açık uyarı yayınlama kararı — aslında doğru iş — ama orada anlamlı bir sermayeniz varsa soğuk bir teselli. Şuradan şeffaflık oradan kaos demek, ve pazar ılımlılığı ödüllendirmez.
Hiç Kimsenin Düzeltmek İstemediği Sıkıcı Altyapı Problemi
Beni uyanık tutan şey şu: bu çözülebilir. Alan adı kayıtçısı hesapları için donanım güvenlik anahtarları. DNS imzalama protokolleri. Merkeziyetsiz alan adı sistemleri. DNS değişiklikleri için çok imzalı onay işlemleri. Hepsi var. Hiçbiri aşırı pahalı değil.
Yine de protokoller çok buna vurulmuyor çünkü — ve bunu yargılamadan söylüyorum — güvenlik gösterisi güvenlik temelleri kadar ucuza mal oluyor.
