Geçtiğimiz 24 saat içerisinde, iki altcoin projesi için hack saldırısı gündeme geldi. NFT ödünç verme platformu JPEG’d 11 milyon dolarlık bir ziyanla karşı karşıya kaldı. Üstelik JPEGG tokenı yüzde 40 paha kaybetti. Öbür yandan, tanınan DeFi platformu Curve Finance’in tokenı CRV, hack haberiyle yüzde 15 düştü. İşte detaylar…
NFT platformu JPEG’d hücuma uğradı: Altcoin fiyatı yüzde 40 düştü
30 Temmuz 2023 tarihinde, önde gelen siber güvenlik firması Peckshield bir duyuru yaptı. NFT borç verme projesi JPEG’d’in (JPEG) yıkıcı bir atağa uğradığını açıkladı. 11 milyon doların üzerinde bir kıymete sahip 6.106 WETH’e varan kayıplara neden olduğunu bildirdi. Güvenlik uzmanlarına nazaran, bilgisayar korsanları son aylarda giderek yaygınlaşan bir teknik kullandı. Salt okunur reentrancy saldırısını kullandılar. Kolay bir tabirle, bu atak, oracle hakikat bakiyeyi güncellemeden evvel para çekme komutlarının tekrar tekrar yürütülmesini içeriyor. Platformun fiyat referans sisteminin manipüle edilmesini sağlıyor.
Kriptokoin.com olarak da bildirdiğimiz üzere taarruz formülü, birçok proje ile karşımıza çıktı. Bunlardan kimileri Conic Finance (3,2 milyon dolar), Era Lend (3,4 milyon dolar) ve Sturdy Finance (800.000 dolar). Böylece makus niyetli aktörler ortasında artan popülaritesini vurguladı. Atak haberinin akabinde JPEG token’ın fiyatı yüzde 40’ın üzerinde şaşırtan bir düşüş yaşadı. Altcoin piyasasının siber güvenlik olaylarına verdiği güçlü yansıyı ortaya koydu. Sonuç olarak, JPEG’d projesine yapılan taarruz, kripto para dalında güvenliğin değeri hakkında acı bir ders niteliğindedir. Projeler ve platformlar, sistemlerinin güvenilirliğini artırmaya odaklanmalı.
Curve hack’inde neler oldu?
Son 24 saat içinde, en büyük stablecoin borsası olan Curve Finance, likidite havuzlarına yönelik bir dizi amansız atakla karşı karşıya kaldı. Projeden yapılan bir duyuruya nazaran, Vyper 0.2.15 programlama lisanını kullanan alETH, msETH ve pETH dahil olmak üzere birkaç stabil havuz, tekrarlanan yeniden merkezleme akınlarının kurbanı oldu. Curve Finance tarafından atılan tweette, “Vyper 0.2.15 kullanan bir dizi stablepool (alETH/msETH/pETH), arızalı bir reentrancy kilidinin bir sonucu olarak istismar edildi. Durumu kıymetlendiriyoruz ve gelişmeler hayli topluluğu bilgilendireceğiz. Öteki havuzlar inançta.” dedi.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Sorunlar, üstte haberini verdiğimiz JPED’d’in pETH-ETH likidite havuzuna bir atak düzenlendiğini ve bunun sonucunda 11,4 milyon USD’ye varan kayıplar yaşandığını duyurmasıyla başladı. Kısa bir mühlet sonra, Metronome projesinin sETH-ETH havuzu da misal bir ihlal yaşadı. Akabinde 1,6 milyon USD’nin üzerinde para çekildi. Akabinde, Alchemix, Debridge, Elippsis ve daha fazlası üzere projelere ilişkin havuzlara yönelik akın raporları ortaya çıktı. Güvenlik firması BlockSec tarafından bildirildiği üzere, yukarıda bahsi geçen açık nedeniyle Curve’deki çeşitli havuzlardan toplam 41 milyon USD’nin üzerinde para çekildi.
Aave, Curve atağında kullanıcıları müdafaaya çalıştı
Wintermute Araştırma Müdürü Igor Igamberdiev, saldırganın Vyper programlama lisanının makul bir sürümünü kullanarak fabrika havuzlarına bir tekrar merkezleme saldırısı gerçekleştirdiğini açıkladı. Vyper lisanındaki kusur nedeniyle bu fabrika havuzlarındaki 100 milyon USD’den fazla varlık şu anda risk altında. Fakat Vyper, sırf 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin atağa açık olduğunu, zira bu sürümlerde reentrancy tedbire özelliğinin bulunmadığını açıkladı. Hücumların tesirini azaltmak için proje grubunun bir üyesi olan Mimaklas, etkilenen tüm havuzların likiditelerinin beyaz şapkalı hacker takımları tarafından geri çekildiğini açıkladı. Birinci taarruzun gerçekleşmesinin akabinde, Curve DAO’nun tokenı olan CRV’nin bedeli yüzde 15’in üzerinde düştü. Şu anda 0.64 dolardan el değiştiriyor.
Bu sırada Curve Finance likidite havuzlarına yönelik devam eden acımasız akınlara süratli bir cevap olarak, Aave Ethereum v2 sürümü CRV ödünç alma fonksiyonunu devre dışı bırakarak ihtiyati önlemler aldı. CRV ödünç alma fonksiyonunu devre dışı bırakma kararı, Aave idaresine acil durumlarda belli varlıkların ödünç alma fonksiyonunu kısıtlama yetkisi veren Aave Uygunlaştırma Teklifinde (AIP-125) belirtilen yönergelerle uyumludur. Bu tedbir, platformun bütünlüğünü korumak ve çalkantılı vakitlerde kullanıcıların fonlarını korumak için alınmıştır.
Şu an itibariyle Aave v2, 300 milyonun üzerinde CRV tokeninden oluşan değerli bir kaynağa sahiptir ve bunların yaklaşık yüzde 95’i CRV kurucusu Michwill’in kaynağından gelmektedir. Bununla birlikte, altcoin CRV için borçlanma faaliyeti nispeten düşük olmuştur ve şu ana kadar sırf yaklaşık 35 milyon CRV ödünç alınmıştır. Aave v2, CRV ödünç alma fonksiyonunu süreksiz olarak devre dışı bırakarak bu hücumların platform üzerindeki tesirini azaltmayı amaçlıyor.
