Altcoin dünyasında tekrar bir hack haberiyle karşınızdayız. Curve Finance üzerinde Vyper kullanan birkaç stable havuz 30 Temmuz’da hacklendi. Vyper’ın 0.2.15, 0.2.16 ve 0.3.0 sürümleri yanlışlı reentrancy kilitlerine karşı savunmasızdır.
Altcoin için tahlil sonuçları ne diyor?
Güvenlik firması Ancilia tarafından etkilenen mukaveleler üzerinde yapılan bir tahlil var. Buna nazaran, 136 kontratta reentrant muhafazalı Vyper 0.2.15, 98 kontratta Vyper 0.2.16 ve 226 kontratta Vyper 0.3.0 kullanıldı.
İlk incelemeye nazaran, Vyper derleyicisinin birtakım sürümleri, bir mukaveleyi kilitleyerek birden fazla fonksiyonun tıpkı anda yürütülmesini engelleyen reentrancy muhafazasını yanlışsız formda uygulamamaktadır. Reentrancy akınları potansiyel olarak bir kontrattaki tüm fonları tüketiyor. Reentrancy saldırısı, blockchain teknolojisi ve bilhassa Ethereum platformu üzerinde çalışan smart contractlerde meydana gelebilecek bir güvenlik açığıdır.
Vyper nedir?
Vyper, altcoin Ethereum Sanal Makinesini (EVM) hedefleyen mukavele odaklı, Pyhton odaklı bir programlama lisanıdır. Vyper’ın Python’a benzerliği, bu lisanı Python geliştiricilerinin Web3’e atlamaları için başlangıç noktalarından biri haline getirmektedir. Saldırıda bir dizi merkezi olmayan finans projesi hedefteydi. Merkezi olmayan borsa Ellipsis açıklama yaptı. Buna nazaran BNB’li az sayıda stable havuzun eski bir Vyper derleyicisi kullanılarak hacklendiğini bildirdi.
Altcoin Alchemix’in alETH-ETH havuzundan 13,6 milyon dolar çıktı. Ayrıyeten JPEGd’nin pETH-ETH havuzundan 11,4 milyon dolar ve Metronome’un sETH-ETH havuzundan 1,6 milyon dolar çıktı. Altcoin Curving Finance CEO’su Michael Egorov daha sonra bir Telegram kanalında açıklama yaptı. Buna nazaran 22 milyon doların üzerinde kıymete sahip 32 milyon altcoin CRV takas havuzundan boşaltıldığını doğruladı.
Kurtarma operasyonu
Bu istismar DeFi ekosisteminde paniğe yol açtı. Ayrıyeten havuzlar ortasında bir süreç dalgasına ve beyaz şapkalıların kurtarma operasyonuna neden oldu. Curve Finance’in hizmet tokeni altcoin Curve DAO’nun (CRV) haberlere reaksiyon olarak %5’in üzerinde düşmesi gündem oldu. Btcpiyasasi.com olarak daha evvel de belirttiğimiz üzere, CRV’nin likiditesi son aylarda değerli ölçüde düştü. Öteki taraftan bu da onu şiddetli fiyat dalgalanmalarına karşı savunmasız hale getirdi. Curve Finance’e nazaran, crvUSD kontratları ve onunla birlikte rastgele bir havuz hücumdan etkilenmedi.
Curve Finance, altcoin Ethereum içinde stablecoin’lerin merkezi olmayan değişimini (DEX) sağlayan bir DeFi protokolüdür. Buna nazaran protokol, kendi ekosistemi içinde bir dizi olayın maksadı olmuştur. Yalnızca birkaç gün evvel, omnipool platformu Conic Finance, 3,26 milyon dolarlık altcoin ETH için hacklendi. Buna nazaran çalınan ölçünün neredeyse tamamı tek bir süreçle yeni bir Ethereum adresine gönderildi.