Kripto para projesi Rodeo Finance Salı günü görünüşe nazaran bir oracle manipülasyon saldırısının kurbanı oldu. Fail, bir dizi merkezi olmayan finans (DeFi) istismarının en sonuncusu olan Arbitrum ağında yaklaşık 810 Ethereum (1,5 milyon dolar) ile kaçtı. İşte detaylar…
Kripto para projesi için hack saldırısı
Olayı birinci olarak tespit eden Blockchain güvenlik firması PeckShield, on-chain bilgilerin daha fazla tahlilini gerçekleştirdi. Tahlil, saldırganın haksız yararlarını Arbitrum’dan Ethereum’a aktardığını gösteriyor. Daha sonra, çalınan tokenleri tekrar etere dönüştürmeden evvel çeşitli öteki varlıklarla takas ettiler. İstismarın son basamağında, Ethereum ağında tanınan bir süreç karıştırıcısı olan Tornado Cash aracılığıyla yönlendirilerek fonların izini tesirli bir biçimde gizledi.
#PeckShieldAlert @Rodeo_Finance is exploited for ~810.1 $ETH (~$1.53M)
The exploiter has bridged the stolen funds from #Arbitrum to #Ethereum, and swapped 285 $ETH for $unshETH and deposited them to Ankr: ETH2 Staking, and transferred 150 $ETH to Tornado Cash… https://t.co/nkEZ1pkfWI pic.twitter.com/r1zZRzA2BQ— PeckShieldAlert (@PeckShieldAlert) July 11, 2023
Wintermute’un araştırma müdürü Igor Igamberdiev, The Block’a saldırıyı “TWAP oracle manipülasyonu” olarak tanımladı. DeFi dünyasında TWAP ya da Vakit Yüklü Ortalama Fiyat, bir varlığın muhakkak bir vakit aralığındaki ortalama fiyatını hesaplamak için bir kehanet misyonu görür. Bu usul çoklukla fiyat dalgalanmalarındaki kısa ani artışların tesirlerini azaltmak için kullanılır.
Kriptoların fiyatı manipüle edildi
DeFi korsanları, bir süreç sırasında haksız bir avantaj elde etmek için bir varlığın hesaplanan ortalama fiyatını yapay olarak çarpıtarak TWAP oracle’larını manipüle eder. Bu çeşit bir manipülasyon, çeşitli taarruz tiplerinin önünü açar. Flash kredi istismarları bunlardan biridir. Bu tıp bir istismarda, saldırgan belli bir varlıktan büyük ölçüde borç alır, TWAP oracle manipülasyonu yoluyla kıymetini düşürür ve akabinde yapay olarak bedel kaybetmiş fiyattan daha fazlasını satın alır. Krediyi geri ödedikten sonra, saldırgan fazlalığı elinde meblağ ve böylelikle detaylı bir manipülasyon planından kar elde eder.
Rodeo Finance örneğinde görüldüğü üzere, bu üzere karmaşık hareketler son birkaç yıldır oracle fiyat data akışlarını manipüle eden bilgisayar korsanları için birer araç haline gelmiştir. Rodeo istismarı münferit bir olay olmayıp, son birkaç aydır Arbitrum ekosistemini rahatsız eden bir eğilimin modülüdür. Kriptokoin.com olarak da bildirdiğimiz üzere Nisan ayında, Arbitrum üzerinde çalışan bir öbür DeFi protokolü olan Sentiment, bir bilgisayar korsanına 1 milyon dolar kaptırdı. Bunu Mayıs ayında Jimbos protokolündeki 7,5 milyon dolarla daha büyük bir güvenlik ihlali izledi.
