Geçtiğimiz 24 saat içerisinde, iki altcoin projesi için hack saldırısı gündeme geldi. NFT ödünç verme platformu JPEG’d 11 milyon dolarlık bir ziyanla karşı karşıya kaldı. Üstelik JPEGG tokenı yüzde 40 paha kaybetti. Öteki yandan, tanınan DeFi platformu Curve Finance’in tokenı CRV, hack haberiyle yüzde 15 düştü. İşte detaylar…
NFT platformu JPEG’d akına uğradı: Altcoin fiyatı yüzde 40 düştü
30 Temmuz 2023 tarihinde, önde gelen siber güvenlik firması Peckshield bir duyuru yaptı. NFT borç verme projesi JPEG’d’in (JPEG) yıkıcı bir akına uğradığını açıkladı. 11 milyon doların üzerinde bir pahaya sahip 6.106 WETH’e varan kayıplara neden olduğunu bildirdi. Güvenlik uzmanlarına nazaran, bilgisayar korsanları son aylarda giderek yaygınlaşan bir teknik kullandı. Salt okunur reentrancy saldırısını kullandılar. Kolay bir tabirle, bu hücum, oracle gerçek bakiyeyi güncellemeden evvel para çekme komutlarının tekrar tekrar yürütülmesini içeriyor. Platformun fiyat referans sisteminin manipüle edilmesini sağlıyor.
Btcpiyasasi.com olarak da bildirdiğimiz üzere hücum metodu, birçok proje ile karşımıza çıktı. Bunlardan kimileri Conic Finance (3,2 milyon dolar), Era Lend (3,4 milyon dolar) ve Sturdy Finance (800.000 dolar). Böylece makûs niyetli aktörler ortasında artan popülaritesini vurguladı. Taarruz haberinin akabinde JPEG token’ın fiyatı yüzde 40’ın üzerinde şaşırtan bir düşüş yaşadı. Altcoin piyasasının siber güvenlik olaylarına verdiği güçlü yansıyı ortaya koydu. Sonuç olarak, JPEG’d projesine yapılan akın, kripto para kesiminde güvenliğin değeri hakkında acı bir ders niteliğindedir. Projeler ve platformlar, sistemlerinin güvenilirliğini artırmaya odaklanmalı.
Curve hack’inde neler oldu?
Son 24 saat içinde, en büyük stablecoin borsası olan Curve Finance, likidite havuzlarına yönelik bir dizi amansız taarruzla karşı karşıya kaldı. Projeden yapılan bir duyuruya nazaran, Vyper 0.2.15 programlama lisanını kullanan alETH, msETH ve pETH dahil olmak üzere birkaç stabil havuz, tekrarlanan yeniden merkezleme akınlarının kurbanı oldu. Curve Finance tarafından atılan tweette, “Vyper 0.2.15 kullanan bir dizi stablepool (alETH/msETH/pETH), arızalı bir reentrancy kilidinin bir sonucu olarak istismar edildi. Durumu kıymetlendiriyoruz ve gelişmeler hayli topluluğu bilgilendireceğiz. Başka havuzlar inançta.” dedi.
Sorunlar, üstte haberini verdiğimiz JPED’d’in pETH-ETH likidite havuzuna bir taarruz düzenlendiğini ve bunun sonucunda 11,4 milyon USD’ye varan kayıplar yaşandığını duyurmasıyla başladı. Kısa bir müddet sonra, Metronome projesinin sETH-ETH havuzu da misal bir ihlal yaşadı. Akabinde 1,6 milyon USD’nin üzerinde para çekildi. Akabinde, Alchemix, Debridge, Elippsis ve daha fazlası üzere projelere ilişkin havuzlara yönelik atak raporları ortaya çıktı. Güvenlik firması BlockSec tarafından bildirildiği üzere, yukarıda bahsi geçen açık nedeniyle Curve’deki çeşitli havuzlardan toplam 41 milyon USD’nin üzerinde para çekildi.
Aave, Curve akınında kullanıcıları muhafazaya çalıştı
Wintermute Araştırma Müdürü Igor Igamberdiev, saldırganın Vyper programlama lisanının muhakkak bir sürümünü kullanarak fabrika havuzlarına bir yine merkezleme saldırısı gerçekleştirdiğini açıkladı. Vyper lisanındaki kusur nedeniyle bu fabrika havuzlarındaki 100 milyon USD’den fazla varlık şu anda risk altında. Lakin Vyper, sırf 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin hücuma açık olduğunu, zira bu sürümlerde reentrancy tedbire özelliğinin bulunmadığını açıkladı. Hücumların tesirini azaltmak için proje grubunun bir üyesi olan Mimaklas, etkilenen tüm havuzların likiditelerinin beyaz şapkalı hacker takımları tarafından geri çekildiğini açıkladı. Birinci atağın gerçekleşmesinin akabinde, Curve DAO’nun tokenı olan CRV’nin kıymeti yüzde 15’in üzerinde düştü. Şu anda 0.64 dolardan el değiştiriyor.
Bu sırada Curve Finance likidite havuzlarına yönelik devam eden acımasız ataklara süratli bir karşılık olarak, Aave Ethereum v2 sürümü CRV ödünç alma fonksiyonunu devre dışı bırakarak ihtiyati önlemler aldı. CRV ödünç alma fonksiyonunu devre dışı bırakma kararı, Aave idaresine acil durumlarda makul varlıkların ödünç alma fonksiyonunu kısıtlama yetkisi veren Aave Güzelleştirme Teklifinde (AIP-125) belirtilen yönergelerle uyumludur. Bu tedbir, platformun bütünlüğünü korumak ve çalkantılı vakitlerde kullanıcıların fonlarını korumak için alınmıştır.
Şu an itibariyle Aave v2, 300 milyonun üzerinde CRV tokeninden oluşan değerli bir kaynağa sahiptir ve bunların yaklaşık yüzde 95’i CRV kurucusu Michwill’in kaynağından gelmektedir. Bununla birlikte, altcoin CRV için borçlanma faaliyeti nispeten düşük olmuştur ve şu ana kadar sadece yaklaşık 35 milyon CRV ödünç alınmıştır. Aave v2, CRV ödünç alma fonksiyonunu süreksiz olarak devre dışı bırakarak bu atakların platform üzerindeki tesirini azaltmayı amaçlıyor.