Bu Kripto Para Hacklendi! İşte Çalınan Coinler

Kripto para projesi Rodeo Finance Salı günü görünüşe nazaran bir oracle manipülasyon saldırısının kurbanı oldu. Fail, bir dizi merkezi olmayan finans (DeFi) istismarının en sonuncusu olan Arbitrum ağında yaklaşık 810 Ethereum (1,5 milyon dolar) ile kaçtı. İşte detaylar…

Kripto para projesi için hack saldırısı

Olayı birinci olarak tespit eden Blockchain güvenlik firması PeckShield, on-chain bilgilerin daha fazla tahlilini gerçekleştirdi. Tahlil, saldırganın haksız yararlarını Arbitrum’dan Ethereum’a aktardığını gösteriyor. Daha sonra, çalınan tokenleri tekrar etere dönüştürmeden evvel çeşitli öteki varlıklarla takas ettiler. İstismarın son basamağında, Ethereum ağında tanınan bir süreç karıştırıcısı olan Tornado Cash aracılığıyla yönlendirilerek fonların izini tesirli bir biçimde gizledi.

Wintermute’un araştırma müdürü Igor Igamberdiev, The Block’a saldırıyı “TWAP oracle manipülasyonu” olarak tanımladı. DeFi dünyasında TWAP ya da Vakit Yüklü Ortalama Fiyat, bir varlığın muhakkak bir vakit aralığındaki ortalama fiyatını hesaplamak için bir kehanet misyonu görür. Bu usul çoklukla fiyat dalgalanmalarındaki kısa ani artışların tesirlerini azaltmak için kullanılır.

Kriptoların fiyatı manipüle edildi

DeFi korsanları, bir süreç sırasında haksız bir avantaj elde etmek için bir varlığın hesaplanan ortalama fiyatını yapay olarak çarpıtarak TWAP oracle’larını manipüle eder. Bu çeşit bir manipülasyon, çeşitli taarruz tiplerinin önünü açar. Flash kredi istismarları bunlardan biridir. Bu tıp bir istismarda, saldırgan belli bir varlıktan büyük ölçüde borç alır, TWAP oracle manipülasyonu yoluyla kıymetini düşürür ve akabinde yapay olarak bedel kaybetmiş fiyattan daha fazlasını satın alır. Krediyi geri ödedikten sonra, saldırgan fazlalığı elinde meblağ ve böylelikle detaylı bir manipülasyon planından kar elde eder.

Rodeo Finance örneğinde görüldüğü üzere, bu üzere karmaşık hareketler son birkaç yıldır oracle fiyat data akışlarını manipüle eden bilgisayar korsanları için birer araç haline gelmiştir. Rodeo istismarı münferit bir olay olmayıp, son birkaç aydır Arbitrum ekosistemini rahatsız eden bir eğilimin modülüdür. Kriptokoin.com olarak da bildirdiğimiz üzere Nisan ayında, Arbitrum üzerinde çalışan bir öbür DeFi protokolü olan Sentiment, bir bilgisayar korsanına 1 milyon dolar kaptırdı. Bunu Mayıs ayında Jimbos protokolündeki 7,5 milyon dolarla daha büyük bir güvenlik ihlali izledi.

Exit mobile version