Solana'nın sağlam projelerinden Nirvana Finance yeniden başlatıldı: Akıllı sözleşme saldırısı nedeniyle mahkum edilen ilk vaka

Geçen hafta birçok önemli olay yaşandı, bunlar arasında ABD Merkez Bankası'nın nispeten agresif bir şekilde 50 baz puan indirim yapması ve Japonya Merkez Bankası'nın ise hareketsiz kalması yer alıyor. Bu, önümüzdeki birkaç hafta içinde aşırı olumsuz bilgilerin ortaya çıkmayabileceğini gösteriyor. Bu süreçte, yatırımcıların esas olarak iki konuya odaklanmaları gerekiyor: İşgücü piyasasının planlandığı gibi toparlanıp toparlanmayacağı ve enflasyonun yeniden alevlenme riski.

Bunun yanı sıra, dikkat çekici bir haber, Solana üzerindeki algoritmik stabilcoin projesi Nirvana Finance'ın V2 versiyonunu yeniden başlattığını duyurmasıdır. Bu proje, Temmuz 2022'de bir siber saldırıya uğrayarak 3,5 milyon dolardan fazla kayıp yaşadıktan sonra faaliyetlerini durdurmak zorunda kalmıştı. Son zamanlardaki yeniden başlatma, ilgili yargı kurumlarının çalınan fonların işlenmesini tamamlamış olabileceğini göstermektedir. Bu, akıllı sözleşmeler saldırısı nedeniyle mahkum edilen Amerika'nın ilk davası olabilir ve deniz hukuku sistemleri için bir dönüm noktasıdır; gelecekte benzer davaların işlenme sürecinin önemli ölçüde iyileşmesi beklenmektedir.

Nirvana Finance'ın flaş kredi saldırısının arka planı

Nirvana Finance, 2022 yılının başında başlatılan Solana ekosistemindeki bir algoritmik stabilcoin projesidir. 28 Temmuz 2022'de, proje bir siber saldırıya uğradı ve tüm stabilcoin NIRV'nin teminatları (yaklaşık 3.5 milyon dolar) çalındı. Proje sözleşmesi açık kaynak olmasa da, hackerlar Solend'in flash loan özelliğini kullanarak saldırıyı gerçekleştirdi ve bu, bazı iç işlerin sorgulanmasına neden oldu.

Dikkate değer olan, Nirvana Finance'ın saldırıya uğramadan önce "otomatik denetim" tamamladığını iddia etmesine rağmen, gerçek sonuçların pek de tatmin edici olmaması. Kurucu ortağı Alex Hoffman, bir röportajda, saldırının gerçekleştiği hafta ekiplerinin denetim çalışmalarına başladığını belirtti. Projenin başlangıcında bu kadar büyük bir ilgi göreceğini beklemediklerini, bazı medya raporlarının toplam kilitli değer (TVL) üzerinde büyük bir artışa yol açtığını açıkladı. O dönemde Luna projesi zirve yapıyordu ve algoritmik stabilcoin alanı doğal olarak geniş bir ilgi topladı. Proje ilk başarıyı elde ettikten sonra, Solana'nın CEO'su Anatoly Yakovenko, akıllı sözleşme denetiminin yapılması için şahsen baskı yaptı ve denetim sürecini hızlandırmaya çalıştı.

Davanın Gelişimi ve Önemli Dönüm Noktası

Teminat çalındıktan sonra, Nirvana Finance duraksama sürecine girdi, ancak Discord topluluğunda resmi personel sürekli olarak bakım yapıyor. Topluluk, çalınan fonları sürekli izliyor, ancak hackerlar tornado ve Monero gibi yöntemlerle fonları izole ettiğinden, geri alma çalışmaları somut bir ilerleme kaydedemedi.

14 Aralık 2023'te, dava önemli bir dönüm noktasına ulaştı. Shakeeb Ahmed adlı eski bir Amazon kıdemli yazılım güvenliği mühendisi, New York Güney Bölge Mahkemesi'nde Nirvana Finance ve başka bir isim verilmemiş merkeziyetsiz kripto para borsasına yönelik siber saldırılarla ilgili bilgisayar dolandırıcılığı suçlamalarını kabul etti. ABD Savcılık Ofisi, bu durumun akıllı sözleşmelere yönelik bir siber saldırı nedeniyle mahkumiyetle sonuçlanan ilk dava olduğunu belirtti.

15 Nisan 2024'te Shakeeb Ahmed, iki kripto para borsasını hacklemek ve dolandırmaktan üç yıl hapis cezasına çarptırıldı. 6 Haziran'da, çalınan fonlar projenin belirlenen hesabına geri aktarıldı ve bu da fonların resmi olarak geri alındığını işaret etti.

Olayın Kaynağı ve Çözüm Süreci

Aslında, tüm davanın kaynağı Crema Finance olmalı, Nirvana Finance ise hacker yakalandıktan sonra gönüllü olarak ortaya çıktı. Shakeeb Ahmed o zamanlar bir uluslararası teknoloji şirketinde kıdemli güvenlik mühendisi olarak çalışıyordu, akıllı sözleşmeler ve blockchain denetimi konusunda uzmanlaşmıştı, yazılım tersine mühendislikte yetkin biriydi. Bu, Nirvana'nın açık kaynak olmadan neden saldırıya uğradığını açıklıyor.

Amerika Birleşik Devleti Adalet Bakanlığı tarafından yayımlanan belgelere göre, davanın başlangıç noktası 2022 Temmuz ayında saldırıya uğrayarak yaklaşık 9 milyon dolar kaybeden merkeziyetsiz borsa olup, karşılaştırmalara göre bu Crema Finance olmalıdır. 4 Temmuz 2022'de Ahmed, platforma bir hızlı kredi saldırısı düzenledi ve takipsizlik karşılığında 2.5 milyon dolarlık "beyaz şapka ödülü" önerdi. Sonunda, Crema Finance yaklaşık 1.68 milyon dolarlık "ödül" almayı kabul etti.

Ahmed'in tutuklanmasının ana sebepleri muhtemelen iki noktada toplanıyor: birincisi, saldırganın Huobi borsa adresi veya ilgili bağlı borsa adresleri ile etkileşimde bulunması; ikincisi, Tornado Cash'in kullanımında bir hata yapılması, fonların yatırılmasından kısa bir süre sonra geri çekilmesi ve geri çekilen fonların sonunda merkezi borsa Gemini'ye girmesi. Bu ipuçları, ilgili merkezi borsalarla işbirliği yaparak adli makamların Shakeeb Ahmed'i New York'ta yakalamasına yardımcı olabilir.

Çalınan fonların geri alınması şüphesiz ki iyi bir haber, aynı zamanda iki sorunu da yansıtıyor: DApp geliştiricileri için fon güvenliği üzerinde durulması gereken bir konu; ikincisi, bu tür davalarda artık bir işleme referans modeli var, bu da ilgili yasadışı davranışlar üzerinde belli bir caydırıcı etki yaratacaktır.