- Topic
74k Popularity
28k Popularity
9k Popularity
4k Popularity
4k Popularity
29k Popularity
16k Popularity
22k Popularity
12k Popularity
2k Popularity
- Pin
74k Popularity
28k Popularity
9k Popularity
4k Popularity
4k Popularity
29k Popularity
16k Popularity
22k Popularity
12k Popularity
2k Popularity
on-chain "uzlaşma": GMX, %10 ödül ile hacker'ı büyük parayı iade etmeye nasıl "ikna" ediyor?
Yazan: Luke, Mars Finans
Kripto dünyasında, en pahalı iki harf muhtemelen "OK".
Bir adres, GMX protokolünde 42 milyon dolarlık varlık "çıkardığında", projeden gelen zincir üzerindeki "barış teklifine" bu gizemli hacker uzun laflar etmeden, teknik yeteneklerini övmeden, sadece bir işlemle soğukkanlılıkla iki harfle yanıt verdi: "tamam". Ardından, çoğu fon geri iade edildi.
Bu "tamam" ifadesi, bir ders kitabı seviyesinde DeFi saldırısını sona erdirdi ve birçok kişinin merakını uyandırdı: Haşlanmış ördek nasıl geri uçtu? Bu işi başaran "bilim adamı" ne düşünüyor? Ani bir vicdan azabı mı, yoksa arka planda başka bir sebep mi var?
Bu sadece basit bir "çalıntı da olsa bir kuralı vardır" hikayesi değil. Daha çok dijital çöl üzerinde gerçekleşen bir Batı düellosuna benziyor; tek fark, tarafların silahlarının kod, oyun teorisi ve insan doğasının açgözlülüğü ile korkusunun hassas hesaplamaları olması. Hacker'ın neden para iade ettiğini anlayabilmek için, o heyecan verici saldırı sahnesine geri dönmemiz gerekiyor ve bu "uzmanın" bu "çılgın hareketi" nasıl gerçekleştirdiğine bir göz atmalıyız.
"Şimşek Savaşı": Cerrahi hassasiyette bir saldırı
Saldırıdan önce, GMX Arbitrum ekosisteminin en göz alıcı projesiydi, 4.5 milyar dolardan fazla toplam kilitli değer (TVL) ve çok sayıda kullanıcıya sahipti, birçok tüccarın "mutlu evi" oldu. Ağaç büyüdükçe rüzgarı da kapar, bu yüzden en üst düzey avcıların gözünde "hareketli kasa" haline geldi.
9 Temmuz'da, bu hacker harekete geçti. Şiddetli bir kırma seçeneğini tercih etmedi, aksine deneyimli bir cerrah gibi, GMX V1 kodundaki derin bir "odak" buldu. Bu saldırının merkezinde, sektörde korkuyla bahsedilen "yeniden giriş açığı" vardı, ancak oyun tarzı gelişmişti. Bu usta, düşünmeden saldırmadı, aksine yeniden giriş saldırısını GMX protokolünün varlık yönetim toplam değerini (AUM) hesaplamadaki başka bir mantık hatasıyla mükemmel bir şekilde birleştirerek "dört ons ile bin kiloyu itme" gibi bir gösteri sergiledi.
Kısacası, o hem "hakem" hem de "sporcu" olarak aynı anda rol oynayabilen bir kumarbaz gibidir. Pozisyon açma anında, açıkları kullanarak genel fiyat hesaplamasını etkiledi, havadan kendisi için son derece avantajlı bir fiyat "yarattı", ardından hemen pozisyonunu kapatıp geri aldı ve parayı aldı. Tüm süreç akıcı bir şekilde, bir nefeste gerçekleşti ve onun GMX'in temel koduna olan anlayışının çoğu insanın çok ötesinde olduğunu gösterdi.
Elde ettikten sonraki işlemler, onun "uzmanlığını" gözler önüne serdi. Fonlar önce Tornado Cash aracılığıyla "yıkanarak" izlerini gizledi, ardından önemli bir hareket gerçekleşti: Hızla çalınan büyük miktardaki USDC stabilcoin'ini merkeziyetsiz DAI ile değiştirdi. Bu hareket gereksiz gibi görünse de, kitaplarda yer alacak kadar iyi bir riskten korunma işlemi ve daha sonraki "uzlaşması" için en önemli ipucunu bıraktı.
Pazarın tepkisi korkunç derecede gerçekti. GMX tokeninin fiyatı hemen "şelale" gibi düştü, birkaç saat içinde neredeyse %28 değer kaybetti, toplulukta hüzün dolu sesler yükseldi, proje ekibi acil olarak "internet bağlantısını kesti" ve hazine boşaltılmaya devam etmesin diye ilgili fonksiyonları duraklattı.
Zincir üzerindeki çağrı: Tehdit ve teşvikle karışık bir "siber ödül" oyunu
Krizle karşı karşıya kalan GMX proje ekibi, polisi aramayı seçmedi, bunun yerine çok "Crypto" bir şey yaptılar - zincir üzerinde çağrıda bulundular. Doğrudan hacker'ın adresine bir işlem gönderdiler ve not bölümünde özenle hazırlanmış bir "teslim olma mektubu" yazdılar:
"Kardeşim, senin yeteneklerini gördük. Şimdi sana bir fırsat veriyorum, %10'u (yaklaşık 5 milyon dolar) 'beyaz şapka ödülü' olarak bırak, geri kalan %90'ı 48 saat içinde geri getir, bu konuyu kapatalım, asla peşine düşmeyeceğiz. Umarım etik bir seçim yaparsın."
Bu "havuç ve sopa" kombinasyonu, DeFi dünyasında yaşanan hırsızlıkların ardından standart bir halkla ilişkiler süreci olarak değerlendirilebilir. Havucun, herhangi birini mali özgürlüğe kavuşturacak devasa bir ödül olması; sopa ise "soruşturma açmama" arkasında gizli yatan yasal tehdittir. 48 saatlik geri sayım, hackera büyük bir psikolojik baskı uygulayarak, onun yeterince zaman bulamadan rahat bir şekilde kara para aklamasını engellemiştir.
Bu "son teklif" karşısında, hackerın yanıtı adeta bir deha ürünü. Ne bir savunma, ne bir alay, sadece bir "tamam". Kısa ve öz, ama bir o kadar da havalı, sanki şunu söylüyor: "Tamam, prosedürü takip edeceğiz."
Hackerların Hesabı: Neden "ağızda olan yağlı et" tükürülmeli?
Hacker gerçekten bu sözlerden etkilendi ve anında aydınlanmaya mı karar verdi? Tabii ki hayır. Bunun arkasında, son derece soğukkanlı bir yarar-zarar değerlendirmesi var.
Öncelikle, bu kesin kazançlı bir iş. Hackerın önünde iki seçenek var: A planı, 42 milyon doları tamamen aklamak için çabalamak. Ancak bu büyük miktar, dünya genelindeki zincir üzerindeki dedektifler (örneğin PeckShield, SlowMist) tarafından izleniyor, her adımın aktarımı halka açık bir yayınla gösterilecek. Regülasyonlarla bir kedi-fare oyunu oynaması, yüksek riskli karıştırma araçları kullanması ve bir aşamada bir hata yapma korkusuyla sürekli endişe içinde olması gerekiyor, bu da varlıklarının dondurulmasına yol açabilir. B planı, teslim olmak ve o 5 milyon dolarlık "yasal" ödülü almak. Bu para neredeyse sıfır riskli, proje sahibi bizzat garanti veriyor, kara para aklama zorluğu ve takip edilme riski en aza indiriliyor.
Maksimum kazanç peşinde koşan rasyonel bir "ekonomik insan" için, bir kamyon dolusu altınla kurşunların arasında koşmak mı, yoksa güvenle bir kutu elmas alıp evine dönmek mi daha tercih edilir? Cevap aşikar.
İkincisi ve en kritik nokta, onun başının üzerinde asılı duran "Damokles Kılıcı" - merkezi stabilcoinlerin "arka kapısı"dır. Hırsız neden başarılı olduktan sonra USDC'yi DAI ile değiştirmek için acele ediyor? Çünkü Circle (USDC) ve Tether (USDT) gibi stabilcoin ihraççılarının, esasen merkezi şirketler olduğunu çok iyi biliyor. Bu şirketler, yetkili mercilerin talebi üzerine herhangi bir adresteki varlıkları doğrudan dondurma yeteneğine sahip olmuşlardır ve bunu birçok kez yapmışlardır. Bu, onun adresindeki birkaç milyon USDC'nin, her an değersiz bir dizi rakama dönüşebileceği anlamına geliyor. "Merkezi finans" içindeki bu "merkezi zayıflık", onu müzakere masasına geri getiren en güçlü kozdur.
Sonunda, hacker rolünün evrimini gördük: yıkıcıdan "profesyonel ödül avcısı"na. Erken dönem hackerları belki de biraz idealizm veya gösterişle doluydu; örneğin Poly Network'ün saldırganı geride büyük bir mesaj bırakmış ve "eğlenceli olduğu için" kendini tanıtmıştı. Ancak günümüzün üst düzey hackerları giderek daha pragmatik hale geliyor. Davranış mantıkları daha çok şöyle: yüksek fiyatlı bir açığı keşfetmek → değerini kanıtlamak için bir "şok eğitimi" tarzı saldırı yapmak → proje sahiplerini standart Bug Bounty'den çok daha yüksek bir "süper ödül" ödemeye zorlamak. Onlara hacker demekten çok, gri alanda dolaşan "açık avcıları" demek daha doğru; ve bu sefer GMX, maalesef onların kurbanı oldu.
Sonuç: Vahşi Batı'nın kırılgan yeni dengesi
GMX olayı, nihayet sıradışı bir şekilde sona erdi: Çoğu kullanıcı varlığı geri aldı, proje ekibi itibarını korudu ve hacker ise büyük bir miktarla, adres denizinde kayboldu.
Bu olay, mevcut DeFi dünyasında bir "kırılgan dengeyi" mükemmel şekilde tanımlıyor. Bir yandan, blok zincirinin şeffaflığı kötü niyetli eylemleri açığa çıkarıyor; diğer yandan, DeFi'nin merkeziyetçi kuruluşlara olan bağımlılığı, karşı hamleler için fırsatlar yaratıyor. Bu ikisinin birlikte etkisi, "saldırı-müzakere-ödül" adlı yeni bir paradigma ortaya çıkardı.
Bir anonim beyaz şapkalı hacker müzakere uzmanının söylediği gibi, hackerlara %10 ödül vermek suç teşvik ediyormuş gibi görünse de, "Hayatlarını ve paralarını riske atan sıradan kullanıcılarla karşılaştığınızda, onların hiçbir umursadığı boktan bir ilke yoktur; sadece paralarını geri almak istiyorlar."
DeFi'nin güvenlik yolculuğu, engellerle dolu ve uzun. Mutlak güvenli kodların doğuşundan önce, bu dijital vahşi batıda, kod, para ve insan etkileşimlerinin iç içe geçtiği bir dizi heyecan verici çatışma devam edecek. Ve GMX'in hikayesi, bu sonsuz kedi-fare oyunundaki sadece bir heyecan verici bölüm.