Kripto para projesi Rodeo Finance Salı günü görünüşe göre bir oracle manipülasyon saldırısının kurbanı oldu. Fail, bir dizi merkezi olmayan finans (DeFi) istismarının en sonuncusu olan Arbitrum ağında yaklaşık 810 Ethereum (1,5 milyon dolar) ile kaçtı. İşte detaylar…
Kripto para projesi için hack saldırısı
Olayı ilk olarak tespit eden Blockchain güvenlik firması PeckShield, on-chain verilerin daha fazla analizini gerçekleştirdi. Analiz, saldırganın haksız kazançlarını Arbitrum’dan Ethereum’a aktardığını gösteriyor. Daha sonra, çalınan tokenleri tekrar etere dönüştürmeden önce çeşitli diğer varlıklarla takas ettiler. İstismarın son aşamasında, Ethereum ağında popüler bir işlem karıştırıcısı olan Tornado Cash aracılığıyla yönlendirilerek fonların izini etkili bir şekilde gizledi.
#PeckShieldAlert @Rodeo_Finance is exploited for ~810.1 $ETH (~$1.53M)
The exploiter has bridged the stolen funds from #Arbitrum to #Ethereum, and swapped 285 $ETH for $unshETH and deposited them to Ankr: ETH2 Staking, and transferred 150 $ETH to Tornado Cash… https://t.co/nkEZ1pkfWI pic.twitter.com/r1zZRzA2BQ
— PeckShieldAlert (@PeckShieldAlert) July 11, 2023
Wintermute’un araştırma müdürü Igor Igamberdiev, The Block’a saldırıyı “TWAP oracle manipülasyonu” olarak tanımladı. DeFi dünyasında TWAP ya da Zaman Ağırlıklı Ortalama Fiyat, bir varlığın belirli bir zaman aralığındaki ortalama fiyatını hesaplamak için bir kehanet görevi görür. Bu yöntem genellikle fiyat dalgalanmalarındaki kısa ani artışların etkilerini azaltmak için kullanılır.
Kriptoların fiyatı manipüle edildi
DeFi korsanları, bir işlem sırasında haksız bir avantaj elde etmek için bir varlığın hesaplanan ortalama fiyatını yapay olarak çarpıtarak TWAP oracle’larını manipüle eder. Bu tür bir manipülasyon, çeşitli saldırı türlerinin önünü açar. Flash kredi istismarları bunlardan biridir. Bu tür bir istismarda, saldırgan belirli bir varlıktan büyük miktarda borç alır, TWAP oracle manipülasyonu yoluyla değerini düşürür ve ardından yapay olarak değer kaybetmiş fiyattan daha fazlasını satın alır. Krediyi geri ödedikten sonra, saldırgan fazlalığı elinde tutar ve böylece ayrıntılı bir manipülasyon planından kar elde eder.
Rodeo Finance örneğinde görüldüğü gibi, bu gibi karmaşık manevralar son birkaç yıldır oracle fiyat veri akışlarını manipüle eden bilgisayar korsanları için birer araç haline gelmiştir. Rodeo istismarı münferit bir olay olmayıp, son birkaç aydır Arbitrum ekosistemini rahatsız eden bir eğilimin parçasıdır. Kriptokoin.com olarak da bildirdiğimiz üzere Nisan ayında, Arbitrum üzerinde çalışan bir başka DeFi protokolü olan Sentiment, bir bilgisayar korsanına 1 milyon dolar kaptırdı. Bunu Mayıs ayında Jimbos protokolündeki 7,5 milyon dolarla daha büyük bir güvenlik ihlali izledi.
Son dakika gelişmelerden anında haberdar olmak için bizi Twitter’da, Facebook‘ta ve Instagram‘da takip edin. Telegram ve YouTube kanalımıza katılın!
Kaynak: sizlere kriptokoin.com farkıyla sunulmuştur.
