Bu Altcoin Hack Saldırısıyla Vuruldu: Milyonlar Çalındı!

DeFi odaklı altcoin projesi dForce (DF), akıllı sözleşmeden art arda fon çeken bir hack saldırısında 3,6 milyon dolar kaybetti.

Altcoin hack saldırısı, Curve Finance’de meydana gelen son güvenlik açığıydı

Raporlara göre bir bilgisayar korsanı, Arbitrum ve Optimism üzerinde çalıştırdığı bir Curve yeniden giriş saldırısında dForce’tan 3,6 milyon dolardan fazla para çaldı. DeFi projesi, bir Twitter gönderisinde olayı doğruladı ve daha fazla hasarı önlemek için sözleşmelerini duraklattığını bildirdi.

DeFi altcoin %5’in üzerinde düştü

dForce (DF) fiyatı, muhtemelen çalınan fonlar henüz satıldığı için sadece %5’lik düşüş gördü. Yazım sırasında devam eden satışların ortasında 0.04381 dolardan işlem görüyor.

Hacker wstETH/ETH Curve kasalarını hedef aldı

Saldırı, görünüşe göre, bir saldırgan bir akıllı sözleşme işlevini tekrar tekrar çağırdığında ve sözleşme dahili durumunu güncellemeden önce varlıkları ondan çıkardığında ortaya çıkabilen bir yeniden giriş güvenlik açığı tarafından etkinleştirildi. Bu açık, akıllı sözleşme kodunda bir hata olduğunda veya uygun güvenlik önlemlerinin eksikliğinde olabilir.

Ekip, “10 Şubat’ta, Arbitrum ve Optimism üzerindeki wstETH/ETH Curve kasalarımız istismar edildi ve tüm kasaları hemen duraklattık. Güvenlik açığı belirlendi ve hack, dForce’un wstETH/ETH-Curve kasasına özeldi.”

Önde gelen iki kripto güvenlik şirketi BlockSec ve PeckShield’a göre, saldırıdan kaynaklanan toplam kayıplar yaklaşık 3,6 milyon dolardı. Peckshiled, dForce’un Arbitrum ikinci katman protokolünden canlı olarak yaklaşık 1.236.65 ETH ve 719.437 USX kaybettiğini belirtti.

PeckShield ayrıca, çalınan yaklaşık 1.037.492 USDC’nin @optimismFND’de olduğunu vurguladı. Raporlar, “ilk analizlerinin temel nedenin bir oracle fiyat sorunu olduğunu gösterdiğini” belirtiyor. Toplam kayıp, Arbitrum’da yaklaşık 1,91 milyon dolar ve Optimism’de 1,73 milyon dolar.

Hack nasıl gerçekleşti?

Yeniden giriş hatası, Curve Finance’e bağlandığında Arbitrum ve Optimism üzerindeki oracle fiyatlarını hesaplamak için dForce tarafından kullanılan bir akıllı sözleşme işlevinde mevcuttu. “get_virtual_price” olarak bilinen özel işlev, tahmini bir oracle fiyatı veren bir komuttur ve Curve’ye bağlandığında herhangi bir protokol tarafından çağrılabilir. Likidite havuzu belirtecinin fiyatını hesaplamak için kullanılır.

BlockSec’in güvenlik hizmetleri direktörü Matthew Jiang, oracle fiyatlarını hesaplamak için “get_virtual_price” işlevini kullanan dForce dahil tüm protokollerin savunmasız olduğunu söyledi. Sorunun herkes tarafından bilindiğini ve Curve’ün kendisini etkilemediğini de sözlerine ekledi. Yine de, kötü niyetli aktörler tarafından yeniden giriş saldırıları gerçekleştirmek üzere manipüle edilebileceğinden, projelerin oracle fiyatlarını tahmin ederken daha dikkatli olması ve ek adımlar atması gerekiyor.

Kriptokoin.com olarak aktardığımız günün bir diğer yüksek profilli hack saldırısı, Binance CEO’su Changpeng Zhao’dan övgü alan sıcak saklama yöntemi Trust Wallet üzerinde meydana geldi.

Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Facebook‘ta ve Instagram‘da takip edin ve Telegram ve YouTube kanalımıza katılın!

Kaynak: sizlere kriptokoin.com farkıyla sunulmuştur.