Kripto para projesi Rodeo Finance Salı günü görünüşe nazaran bir oracle manipülasyon saldırısının kurbanı oldu. Fail, bir dizi merkezi olmayan finans (DeFi) istismarının en sonuncusu olan Arbitrum ağında yaklaşık 810 Ethereum (1,5 milyon dolar) ile kaçtı. İşte detaylar…
Kripto para projesi için hack saldırısı
Olayı birinci olarak tespit eden Blockchain güvenlik firması PeckShield, on-chain dataların daha fazla tahlilini gerçekleştirdi. Tahlil, saldırganın haksız karlarını Arbitrum’dan Ethereum’a aktardığını gösteriyor. Daha sonra, çalınan tokenleri tekrar etere dönüştürmeden evvel çeşitli öbür varlıklarla takas ettiler. İstismarın son kademesinde, Ethereum ağında tanınan bir süreç karıştırıcısı olan Tornado Cash aracılığıyla yönlendirilerek fonların izini tesirli bir formda gizledi.
https://twitter.com/PeckShieldAlert/status/1678683010802270215
Wintermute’un araştırma müdürü Igor Igamberdiev, The Block’a saldırıyı “TWAP oracle manipülasyonu” olarak tanımladı. DeFi dünyasında TWAP ya da Vakit Yüklü Ortalama Fiyat, bir varlığın muhakkak bir vakit aralığındaki ortalama fiyatını hesaplamak için bir kehanet vazifesi görür. Bu prosedür çoklukla fiyat dalgalanmalarındaki kısa ani artışların tesirlerini azaltmak için kullanılır.
Kriptoların fiyatı manipüle edildi
DeFi korsanları, bir süreç sırasında haksız bir avantaj elde etmek için bir varlığın hesaplanan ortalama fiyatını yapay olarak çarpıtarak TWAP oracle’larını manipüle eder. Bu cins bir manipülasyon, çeşitli hücum tiplerinin önünü açar. Flash kredi istismarları bunlardan biridir. Bu çeşit bir istismarda, saldırgan muhakkak bir varlıktan büyük ölçüde borç alır, TWAP oracle manipülasyonu yoluyla bedelini düşürür ve akabinde yapay olarak paha kaybetmiş fiyattan daha fazlasını satın alır. Krediyi geri ödedikten sonra, saldırgan fazlalığı elinde meblağ ve böylelikle detaylı bir manipülasyon planından kar elde eder.
Rodeo Finance örneğinde görüldüğü üzere, bu üzere karmaşık hareketler son birkaç yıldır oracle fiyat data akışlarını manipüle eden bilgisayar korsanları için birer araç haline gelmiştir. Rodeo istismarı münferit bir olay olmayıp, son birkaç aydır Arbitrum ekosistemini rahatsız eden bir eğilimin kesimidir. Kriptokoin.com olarak da bildirdiğimiz üzere Nisan ayında, Arbitrum üzerinde çalışan bir öteki DeFi protokolü olan Sentiment, bir bilgisayar korsanına 1 milyon dolar kaptırdı. Bunu Mayıs ayında Jimbos protokolündeki 7,5 milyon dolarla daha büyük bir güvenlik ihlali izledi.
