DeFi protokolü dForce, 3.6 milyon dolardan fazla zarara uğradı ve hacker, Arbitrum ve Optimism zincirlerinde gerçekleştirilen yeniden giriş saldırısı sayesinde bu kaybı geri almayı başardı.
Saldırı, kullanıcıların Curve Finance'e bağlandıklarında oracle fiyatlarını hesaplamalarına olanak tanıyan akıllı sözleşme işlevindeki bir güvenlik açığından kaynaklanıyordu.
3.6 Milyon Dolardan Fazla Kayıp
Bir bilgisayar korsanı, dForce DeFi protokolüne yeniden giriş saldırısı yoluyla 3.6 milyon dolar değerindeki kripto para birimini ele geçirmeyi başardı. Bilgisayar korsanı, Arbitrum ve Optimism blok zincirlerinde çalışan otomatik bir piyasa yapıcı (AMM) platformu olan Curve Finance'teki protokolün kasasını hedeflemeyi başardı. Hack, dForce'un İyimserlik Zinciri üzerinde gerçekleştirilen bir dizi flaş kredi işlemi nedeniyle yaklaşık 1.7 milyon dolar kaybettiğini tweetleyen Twitter kullanıcısı @ZoomerAnon tarafından gün ışığına çıkarıldı. Blockchain güvenlik firması PeckShield saldırıyı doğruladı ve hasarın yaklaşık 2300 ETH, yani yaklaşık 3.65 milyon dolar olduğunu belirtti.
DeForce ayrıca saldırıyı resmi Twitter hesabından doğruladı ve daha fazla hasarı önlemek için tüm kasaları duraklattığını ekledi.
“10 Şubat'ta Arbitrum ve Optimism'deki wstETH/ETH Eğrisi kasalarımız istismar edildi ve tüm kasaları derhal duraklattık. Güvenlik açığı belirlendi ve istismar dForce'un wstETH/ETH-Curve kasasına özeldi. Kullanıcıların dForce Lending'e ve diğer kasalara sağladığı fonlar GÜVENLİDİR."
Saldırının Detayları
Saldırıyla ilgili mevcut ayrıntılara göre, bilgisayar korsanı, Arbitrum ve Optimism'den oracle fiyatlarını elde etmek için dForce tarafından kullanılan akıllı sözleşme işlevinde mevcut olan yeniden giriş güvenlik açığından yararlanmayı başardı. Yeniden giriş saldırıları, bir bilgisayar korsanının akıllı sözleşmedeki bir hatadan yararlanarak parayı tekrar tekrar çekmesine ve bunları yetkisiz bir sözleşmeye aktarmasına olanak tanıdığında meydana gelir. Bu saldırıların Curve Finance'e bağlı protokollerde gerçekleştiği biliniyor.
Blockchain güvenlik firması PeckShield, bu saldırı durumunda hackerın Curve'ün kasasındaki (wstETHCRV-gauge) sarılmış stake edilmiş ETH'nin fiyatını manipüle edebildiğini ve birkaç flaş kredi pozisyonunu tasfiye edebildiğini açıkladı. Şu ana kadar fonlar hâlâ hackerın hesabında duruyor. DeForce, protokolün daha fazla zarar görmesini önlemek için tüm sözleşmeleri duraklattı ve müşteri fonlarının güvende kaldığını vurguladı. DeForce ayrıca saldırganın 2.3 milyon dolarlık protokol borcu oluşturduğunu belirterek, paranın iade edilmesi halinde saldırgana ödül teklif edeceklerini de sözlerine ekledi.
“Konuyu daha ayrıntılı araştırmak için güvenlik şirketi @SlowMist_team ve ekosistem ortaklarımızla görüştük ve fonların iade edilmesi halinde istismarcıya bir ödül teklif etmek istiyoruz. Daha fazla güncelleme için bizi takip etmeye devam edin.”
DeFi Yumuşak Bir Hedef mi?
dForce'a yapılan son saldırı, protokolün büyük bir saldırıda 25 milyon dolar kaybetmesinden iki yıl sonra gerçekleşti. Ancak saldırgan çalınan paranın neredeyse tamamını iade etti. En son saldırıda çok daha küçük bir miktar çalınmış olsa da bu, uzun bir saldırı serisinin sonuncusu oldu. saldırılar kriptoda en hızlı büyüyen ekosistemlerden biri olan DeFi ekosistemini hedefliyor. TRM Labs tarafından yayınlanan bir rapora göre, 3.7 yılında kripto saldırıları nedeniyle 2022 milyar dolardan fazla kayıp yaşandı ve bu rakamın %80'inden fazlası DeFi açıklarından kaynaklandı.
Çok sayıda hacklenme ve bildirilen muazzam kayıplar, Avrupa Birliği de dahil olmak üzere düzenleyicilerin dikkatini açıkça çekti. Düzenleyiciler, düzenleyici kurumların DeFi gözetimini iyileştirmeye yardımcı olmak için yeni politika değişiklikleri sunmaya yönelik çalışma sözü verdiler.
Sorumluluk Reddi: Bu makale yalnızca bilgi amaçlı sağlanmıştır. Yasal, vergi, yatırım, mali veya başka bir tavsiye olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost