Geçtiğimiz 24 saat içerisinde, iki altcoin projesi için hack saldırısı gündeme geldi. NFT ödünç verme platformu JPEG’d 11 milyon dolarlık bir ziyanla karşı karşıya kaldı. Üstelik JPEGG tokenı yüzde 40 paha kaybetti. Öbür yandan, tanınan DeFi platformu Curve Finance’in tokenı CRV, hack haberiyle yüzde 15 düştü. İşte detaylar…
NFT platformu JPEG’d atağa uğradı: Altcoin fiyatı yüzde 40 düştü
30 Temmuz 2023 tarihinde, önde gelen siber güvenlik firması Peckshield bir duyuru yaptı. NFT borç verme projesi JPEG’d’in (JPEG) yıkıcı bir hücuma uğradığını açıkladı. 11 milyon doların üzerinde bir bedele sahip 6.106 WETH’e varan kayıplara neden olduğunu bildirdi. Güvenlik uzmanlarına nazaran, bilgisayar korsanları son aylarda giderek yaygınlaşan bir teknik kullandı. Salt okunur reentrancy saldırısını kullandılar. Kolay bir tabirle, bu atak, oracle gerçek bakiyeyi güncellemeden evvel para çekme komutlarının tekrar tekrar yürütülmesini içeriyor. Platformun fiyat referans sisteminin manipüle edilmesini sağlıyor.
Kriptokoin.com olarak da bildirdiğimiz üzere akın formülü, birçok proje ile karşımıza çıktı. Bunlardan kimileri Conic Finance (3,2 milyon dolar), Era Lend (3,4 milyon dolar) ve Sturdy Finance (800.000 dolar). Böylece makus niyetli aktörler ortasında artan popülaritesini vurguladı. Akın haberinin akabinde JPEG token’ın fiyatı yüzde 40’ın üzerinde şaşırtan bir düşüş yaşadı. Altcoin piyasasının siber güvenlik olaylarına verdiği güçlü yansıyı ortaya koydu. Sonuç olarak, JPEG’d projesine yapılan atak, kripto para dalında güvenliğin kıymeti hakkında acı bir ders niteliğindedir. Projeler ve platformlar, sistemlerinin güvenilirliğini artırmaya odaklanmalı.
Curve hack’inde neler oldu?
Son 24 saat içinde, en büyük stablecoin borsası olan Curve Finance, likidite havuzlarına yönelik bir dizi amansız atakla karşı karşıya kaldı. Projeden yapılan bir duyuruya nazaran, Vyper 0.2.15 programlama lisanını kullanan alETH, msETH ve pETH dahil olmak üzere birkaç stabil havuz, tekrarlanan yine merkezleme taarruzlarının kurbanı oldu. Curve Finance tarafından atılan tweette, “Vyper 0.2.15 kullanan bir dizi stablepool (alETH/msETH/pETH), arızalı bir reentrancy kilidinin bir sonucu olarak istismar edildi. Durumu kıymetlendiriyoruz ve gelişmeler epeyce topluluğu bilgilendireceğiz. Başka havuzlar inançta.” dedi.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Sorunlar, üstte haberini verdiğimiz JPED’d’in pETH-ETH likidite havuzuna bir taarruz düzenlendiğini ve bunun sonucunda 11,4 milyon USD’ye varan kayıplar yaşandığını duyurmasıyla başladı. Kısa bir mühlet sonra, Metronome projesinin sETH-ETH havuzu da misal bir ihlal yaşadı. Akabinde 1,6 milyon USD’nin üzerinde para çekildi. Akabinde, Alchemix, Debridge, Elippsis ve daha fazlası üzere projelere ilişkin havuzlara yönelik atak raporları ortaya çıktı. Güvenlik firması BlockSec tarafından bildirildiği üzere, yukarıda bahsi geçen açık nedeniyle Curve’deki çeşitli havuzlardan toplam 41 milyon USD’nin üzerinde para çekildi.
Aave, Curve atağında kullanıcıları müdafaaya çalıştı
Wintermute Araştırma Müdürü Igor Igamberdiev, saldırganın Vyper programlama lisanının makul bir sürümünü kullanarak fabrika havuzlarına bir yine merkezleme saldırısı gerçekleştirdiğini açıkladı. Vyper lisanındaki kusur nedeniyle bu fabrika havuzlarındaki 100 milyon USD’den fazla varlık şu anda risk altında. Fakat Vyper, sırf 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin akına açık olduğunu, zira bu sürümlerde reentrancy tedbire özelliğinin bulunmadığını açıkladı. Akınların tesirini azaltmak için proje takımının bir üyesi olan Mimaklas, etkilenen tüm havuzların likiditelerinin beyaz şapkalı hacker grupları tarafından geri çekildiğini açıkladı. Birinci taarruzun gerçekleşmesinin akabinde, Curve DAO’nun tokenı olan CRV’nin pahası yüzde 15’in üzerinde düştü. Şu anda 0.64 dolardan el değiştiriyor.
Bu sırada Curve Finance likidite havuzlarına yönelik devam eden acımasız ataklara süratli bir karşılık olarak, Aave Ethereum v2 sürümü CRV ödünç alma fonksiyonunu devre dışı bırakarak ihtiyati önlemler aldı. CRV ödünç alma fonksiyonunu devre dışı bırakma kararı, Aave idaresine acil durumlarda belli varlıkların ödünç alma fonksiyonunu kısıtlama yetkisi veren Aave Güzelleştirme Teklifinde (AIP-125) belirtilen yönergelerle uyumludur. Bu tedbir, platformun bütünlüğünü korumak ve çalkantılı vakitlerde kullanıcıların fonlarını korumak için alınmıştır.
Şu an itibariyle Aave v2, 300 milyonun üzerinde CRV tokeninden oluşan kıymetli bir kaynağa sahiptir ve bunların yaklaşık yüzde 95’i CRV kurucusu Michwill’in kaynağından gelmektedir. Bununla birlikte, altcoin CRV için borçlanma faaliyeti nispeten düşük olmuştur ve şu ana kadar sadece yaklaşık 35 milyon CRV ödünç alınmıştır. Aave v2, CRV ödünç alma fonksiyonunu süreksiz olarak devre dışı bırakarak bu hücumların platform üzerindeki tesirini azaltmayı amaçlıyor.
