Warp Finance, bir flash loan (ani kredi) saldırısına uğradı. Bilgisayar korsanı, çoklu protokollere ve takaslara dayalı karmaşık bir şema kullandı. Ekibin, kullanıcıların kayıplarını telafi etmek için bir planı olduğu söz edildi.
Diğer bir DeFi projesi daha hack’lendi ve DAI ve USDC olarak yaklaşık 8 milyon dolarlık kullanıcı fonu kaybedildi. Saldırgan, dijital izi gizlemek için karmaşık bir çok protokollü flaş kredi planını ve Tornado Cash’i kullandı.
1/ Approximately 2 hours ago, https://t.co/nS5MGArVoP was exploited with a complex flash loan attack which allowed the user to borrow more than their collateral value resulting in a loss of stablecoin lender funds.
— 🟢warp.finance (@warpfinance) December 18, 2020
Saldırganın gerçekleştirdiği bu atak, kripto para topluluğunun ilgisini çekti. Bir kripto para yorumcusuna nazaran saldırgan Tornado Cash’ten ETH tarafından finanse edilen bir hesap, dXdY’den 51 milyon flash kredi yarattı ve çabucak akabinde Uniswap’te 180 milyon dolarlık bir takas gerçekleştirdi. Warp Finance’ta yer alan kasalardaki USDC ve DAI’leri boşaltan saldırgan 1 milyon dolarlık ETH ile kayıplara karıştı.
Burada temel nokta bu üzere atakların sistem açıklarından yararlanması nedeniyle cürüm olarak nitelendirilip nitelendirilemeyeceği. Yerli kripto para topluluğunun kıymetli isimlerinden Celil Öztürk bunu sorgulayan bir tweet attı. Öztürk, şunları söyledi:
“Sistemde bir açıklık istismar ediliyor evet lakin yetkisiz erişim formunda bir açıklıktan kelam etmiyoruz. O nedenle bu atakları türel olarak nasıl nitelendirebiliriz önemli manada tartışmalı, yani bir hırsızlık denebilir mi?”
Sistemde bir açıklık istismar ediliyor evet ama yetkisiz erişim şeklinde bir açıklıktan söz etmiyoruz.
O nedenle bu saldırıları hukuki olarak nasıl nitelendirebiliriz ciddi anlamda tartışmalı, yani bir hırsızlık denebilir mi?
— Celil Öztürk (@cybrspcffrs) December 18, 2020
Öztürk ayrıyeten, “Flash Loan saldırısı ve bu atağın usulüne bakınca, türel olarak bir kabahat oluştuğinu tez etmek çok güç. Lakin özel birtakım düzenlemelerle bu çeşit akınlara karşı bir siyaset geliştirilebilir. Buna karşın çok özgün ve statüsü tartışmalı işlemler” tabirlerini de kullandı.
Kripto para topluluğunda bu olayı yorumlayan kimi şahıslar de saldırganın çok zeki olduğunu lisana getiriyor. Bir kısmı da bu olayın yalnızca kodlarla alakalı olduğunu hakikat metodun bilinmesi halinde bu çeşit süreçlerin yapılabileceğini söylüyor.
Hack Nasıl Gerçekleşti?
Perşembe günü geç saatlerde, topluluk üyeleri Warp Finance protokolünde sistemsiz faaliyetler fark ettiler. Birisi, protokolün USDC ve DAI kasalarını boşaltmak için flaş kredi planında birden fazla süreç kullandı.
Flash kredi, tıpkı blok içinde geri ödenmesi şartıyla, herkesin teminat olmadan anında kredi almasına imkan tanıyan kullanışlı bir DeFi özelliğidir. Warp Finance durumunda, bilgisayar korsanı teminat bedelinden daha fazlasını borç vermek için karmaşık bir plan kullandı ve bu da borç verenin para kaybetmesine neden oldu.
Proje grubu saldırıyı onayladı ve durum araştırılıncaya kadar protokole stablecoin yatırmaktan kaçınmayı önerdi. Hacker, DAI ve USDC’de 7.7 milyon doların kaybolmasına neden oldu lakin grup, teminat kasasından kurtarılabilecek ve kayıpları karşılamak için kullanılabilecek yaklaşık 5.5 milyon dolar olduğunu argüman ediyor.
DeFi Italy’nin kurucusu Emiliano Bonassi, bilgisayar korsanlarının çeşitli protokollerde birden çok kredi ve takasla karmaşık ataklar başlatma eğiliminde olduğunu fark etti. Bu ortada, öteki bir DeFi uzmanı Nick Chong, bilgisayar korsanlarının sırf 1 milyon dolar ile kaçtığını, geri kalanın ise fiyat ödemek için kullanıldığını söyledi.
“Burada enteresan bulduğum şey, saldırganın ödüllerinin birçoklarının fiyatlara gitmesi. Warp mukavelelerinde 3.85m DAI ve 3.92m USDC vardı. Saldırgan (görünüşte) 1 milyon dolarlık ethereum (1,462 ETH) ile ayrıldı.”
DeFi dalı akınlara karşı savunmasız ve Wrap Finance birinci kurban değil. Yılın başından bu yana, sanayi, hack atakları nedeniyle 100 milyon dolar kaybetti.
Bir yanıt yazın