MetaMask, kısa süre önce bir honeypot saldırısıyla 15 milyon dolar kaybeden Ethereum MEV operatörü Jaredfromsubway ile dalga geçiyormuş gibi görünen bir zincir üstü mesajın kendilerinden gelmediğini duyurdu. Popüler cüzdan sağlayıcısı, bu mesajın resmi adreslerinden değil, benzer görünümlü bir Ethereum Name Service (ENS) adından geldiğini açıkladı. Bu durum, ENS adlarının platformda nasıl görüntülendiğine dair bir tasarım açığına dikkat çekti. ENS adresleri genellikle tüm harfleri küçük yazarak gösterilirken, "MetaMask.eth" gibi büyük/küçük harf ayrımı olan adresler kullanıcıya aynı görünse de zincir üstünde farklı adreslere karşılık gelebilir. MetaMask, X platformunda bu mesajla hiçbir ilgisinin olmadığını belirtti.

Jaredfromsubway, saldırgana %50 white hat anlaşması teklif etmiş ve 48 saat içinde paraları iade etmesini istemişti. Aksi takdirde hukuki yola başvuracağını söylemişti. Saldırgan, anlaşmaya yanaşmadığı için 7,5 milyon doların 5,1 milyon dolarını Tornado Cash'e aktardı. Fonlar, 100’er ETH’lik 20 işlemde bölünüp gönderildi ve geri kalan ETH DAI’ye dönüştürüldü.

Bu olay, Ethereum ekosistemindeki kullanıcıların karşılaşabileceği isimlendirme sistemindeki açığı gözler önüne seriyor. ENS isimleri büyük/küçük harf duyarsız hale getirilse de, kayıt aşamasında farklı harf kombinasyonları ayırt edilmeye devam ediyor. Bu durum, kötü niyetli kişilerin benzer kimlikler alıp dikkat çeken haberlerde bu isimleri harekete geçirebilmesine olanak tanıyor. DeFi kredi protokollerindeki kayıplar da benzer yapısal sorunların bir sonucu olarak görülebilir. Sektör bu sorunları çözmediği sürece, arayüzden kaynaklanan taklitçilikler büyük vurgunlara yol açmaya devam edebilir.