Gün geçmiyorki kripto para piyasalarında yeni bir FUD gelişme olmasın.
Pazar günü, merkeziyetsiz finans (DeFi) uygulaması Curve Finance protokolünde beş başka siber hücum gerçekleştirildi ve bu hacklerin sebep olduğu ziyan mutlaklaşmış haliyle 47 milyon dolar olarak açıklandı. Kimi uzmanlara nazaran ziyan 70 milyon dolara kadar çıkabilir.
Saldırının gerçekleştiği sırada CRV fiyatı zincir üzerinde 0.10 dolara kadar düştü.
Bu olay, Curve Finance üzerindeki çeşitli havuzların kullandığı Vyper 0.2.15, 0.2.16 ve 0.3.0 sürümlerindeki güvenlik açığının bir sonucu olarak gerçekleşti.
Hacklenmenin birincil nedeni, Ethereum Virtual Machine’i (EVM) hedefleyen mukavele odaklı, pythonik bir programlama lisanı olan Vyper’ın makul sürümlerinin tekrar giriş kilitlerindeki bir açıktı. Bu programlama lisanı, Python ile benzerliği nedeniyle Web3’e geçiş yapan Python geliştiricileri için tercih edilen bir seçimdir.
Saldırıyı detaylı olarak anlatmak gerekirse, birinci hack 11 milyon dolar bedelinde bir pool olan JPEG’d pETH-ETH havuzunu etkiledi, akabinde ALchemix’in alETH-ETH, Pendle’ın pETH-ETH, Metronome’un msETH-ETH ve CRV-ETH havuzlarına dört akın daha gerçekleşti.
Curve Finance’ten yapılan açıklamaya nazaran, bu akınların bir kısmı, makus niyetli hackerlardan evvel likidite havuzlarındaki fonları korumak isteyen âlâ niyetli hackerlar tarafından gerçekleştirildi. Hacklenme sorunu çözülür çözülmez güzel niyetli hackerlar kurtardıkları fonları Curve Finance’e iade ettiler.
İlk araştırmaya nazaran, Vyper derleyicisinin birtakım sürümleri, bir mukaveleyi engelleyerek ve varlıkların havuzlardan boşaltılmasına müsaade vererek birden fazla fonksiyonun birebir anda yürütülmesini önleyen yine giriş müdafaasını düzgün bir biçimde uygulamadıkları ortaya çıktı.
Şu anda, öbür DeFi protocollerinin kullacıları Vyper’ın bu sürümlerini kullanan tüm DeFi projeleri hacklenme riski altında olduğu için panik halinde varlıklarını protokollerden çekiyorlar.
Birçok topluluk kullanıcısı, Alchemix, JPEG’d ve Curve takım üyelerini (Vyper kod tabanının bakımında faal olarak yer alanlar) yaşanan yanlıştan ötürü birincil derecede sorumlu tutuyorlar.
Bununla birlikte, Wildcat Finance’in kurucusu Dr. Laurence Day, sorunun a priori denetimlerin eksikliğinden kaynaklandığını ve parmakla birilerini işaret etmeye gerek olmadığını belirtti.
MEV botları konusunun da bu öykünün bir modülü haline geldiğini not etmek çok enteresan olacak: Bir MEV araştırmacısı, hackerdan evvel davranarak pETH-ETH havuzunda yaşanan birinci hack’te havuzdan bir ölçü para çıkardı.
DefiLlama’nın bilgilerine nazaran, Curve Finance’in TVL’si 48% düşerek bir günde 3.26 milyar dolardan 1.67 milyar dolara düştü.
Aslında, yatırımcılar akının öteki likidite havuzlarına bulaşma tehlikesinden korktukları için fırtınanın dinmesini beklemeyi tercih ettiler. Bu tercih Curve Finance’in büyük ölçüde likidite kaybetti.
Öne Çıkan Notlar:
Güney Kore borsası Upbit para yatırma ve çekme süreçlerinin askıya almasının akabinde, bir başka Güney Kore borsası Bithumb’ta CRV fiyatı yaklaşık %640 yükselişle yaklaşık 4,7 dolara ulaştı.
Diğer borsalarda CRV yaklaşık 0,81 dolardan süreç görüyor.
Bithumb ve Upbit, CRV spot süreç hacminde üçüncü ve dördüncü sıraya yükseldiler.
Son gelişmelerden sonra DeFi tarafı yara almaya devam edecek mi daima birlikte izlemeye devam edeceğiz.