Ethereum Pectra Güncellemesi Sepolia Testnet’inde Saldırıya Uğradı

Ethereum Pectra Güncellemesi Sepolia Testnet’inde Saldırıya Uğradı

Ethereum’un Sepolia testnet’inde 5 Mart saat 07:29’da hayata geçirilen Pectra güncellemesi, beklenmedik hatalarla karşılaştı. Ethereum geliştiricisi Marius van der Wijden’in açıklamasına göre, bu hatalar bir saldırganın istisnai bir durumu (edge case) kullanarak boş bloklar kazılmasına neden olmasıyla daha da kötüleşti.

8 Mart’ta yaptığı güncellemede, van der Wijden, yükseltmenin hemen ardından hata mesajlarının görülmeye başladığını ve ağda boş blokların üretildiğini belirtti. Sorunun, depozito sözleşmesinin yanlış bir etkinliği tetiklemesinden kaynaklandığı tespit edildi. Transfer etkinliği yanlışlıkla bir depozito etkinliği yerine geçmişti.

Geliştiriciler hızla bir düzeltme yayınladı, ancak kritik bir istisnai durumu gözden kaçırdılar. Bu açığı fark eden bilinmeyen bir kullanıcı, sıfır token’lık bir transfer göndererek hatayı yeniden tetikledi.

“Birkaç dakika içinde tekrar birçok boş blok kazıldığını fark ettik. İşlem havuzlarını tekrar incelediğimizde, aynı sorunu tetikleyen başka bir problemli işlemle karşılaştık,” diye açıkladı van der Wijden.
“Önce bunun güvendiğimiz doğrulayıcılardan birinin yaptığı bir hata olduğunu düşündük, ancak kısa sürede işlemin, yeni oluşturulmuş ve faucet tarafından finanse edilmiş bir hesaptan geldiğini anladık.”

Saldırgan, ERC-20 Standartlarındaki Boşluğu Kullandı

ERC-20 token standardı, sıfır token transferini yasaklamaz. Bu nedenle, herhangi bir kullanıcının—elinde hiç token olmasa bile—başka bir adrese transfer yapabilmesine olanak tanır. Saldırgan da bu boşluğu kullanarak sorunu sürekli olarak tetikledi.

Ethereum geliştiricileri saldırıyı durdurmak için özel bir düzeltme uyguladı ve depozito sözleşmesiyle etkileşime giren tüm işlemleri filtreledi.

“Saldırganın konuşmalarımızı takip ettiğinden şüphelendik, bu yüzden düzeltmeyi duyurmamaya karar verdik,” dedi van der Wijden.
“Bunun yerine, yalnızca birkaç DevOps düğümüne güncelleme yaparak ağda daha fazla dolu blok üretmeyi hedefledik.”

Saat 14:00’e gelindiğinde, tüm düğümler güncellendi ve saldırganın işlemi başarılı bir şekilde madencilik sürecine dahil edildi. Van der Wijden, olay boyunca Ethereum’un finalizasyon sürecinin etkilenmediğini vurguladı.

Pectra Güncellemesi Ertelendi

Bu sorun, yalnızca Sepolia testnet’i ile sınırlı kaldı çünkü geliştiriciler burada ana ağdaki standart depozito sözleşmesi yerine token tabanlı bir depozito sözleşmesi kullanıyordu. Benzer bir hata, 26 Şubat’ta Holesky testnet’inde yapılan Pectra testi sırasında da yaşandı. Bunun sonucunda, Ethereum geliştiricileri, Pectra güncellemesini daha fazla test yapana kadar ertelemeye karar verdi.

Pectra yükseltmesi, Ethereum’un Dencun hard fork’undan sonra gelen önemli bir geliştirme olarak öne çıkıyor. 13 Mart 2024’te uygulanan Dencun güncellemesi, katman-2 ağlarındaki işlem ücretlerini önemli ölçüde düşürerek Ethereum rollup ekonomisini iyileştirdi.

Bu arada, Ethereum Vakfı’nda yönetim değişikliği yaşandı. Vakfın yeni eş direktörleri olarak Hsiao-Wei Wang ve Tomasz Stańczak göreve getirildi ve ağın gelecekteki gelişim sürecini yönetecekler.