DeFi odaklı altcoin projesi dForce (DF), akıllı sözleşmeden art arda fon çeken bir hack saldırısında 3,6 milyon dolar kaybetti.
Altcoin hack saldırısı, Curve Finance’de meydana gelen son güvenlik açığıydı
Raporlara göre bir bilgisayar korsanı, Arbitrum ve Optimism üzerinde çalıştırdığı bir Curve yeniden giriş saldırısında dForce’tan 3,6 milyon dolardan fazla para çaldı. DeFi projesi, bir Twitter gönderisinde olayı doğruladı ve daha fazla hasarı önlemek için sözleşmelerini duraklattığını bildirdi.
On Feb 10, our wstETH/ETH Curve vaults on Arbitrum & Optimism were exploited and we immediately paused all vaults. The vulnerability is identified, and the exploit was specific to dForce's wstETH/ETH-Curve vault. Users' funds supplied to dForce Lending and other vaults are SAFE.
— dForce (@dForcenet) February 10, 2023
DeFi altcoin %5’in üzerinde düştü
dForce (DF) fiyatı, muhtemelen çalınan fonlar henüz satıldığı için sadece %5’lik düşüş gördü. Yazım sırasında devam eden satışların ortasında 0.04381 dolardan işlem görüyor.
Hacker wstETH/ETH Curve kasalarını hedef aldı
Saldırı, görünüşe göre, bir saldırgan bir akıllı sözleşme işlevini tekrar tekrar çağırdığında ve sözleşme dahili durumunu güncellemeden önce varlıkları ondan çıkardığında ortaya çıkabilen bir yeniden giriş güvenlik açığı tarafından etkinleştirildi. Bu açık, akıllı sözleşme kodunda bir hata olduğunda veya uygun güvenlik önlemlerinin eksikliğinde olabilir.
Ekip, “10 Şubat’ta, Arbitrum ve Optimism üzerindeki wstETH/ETH Curve kasalarımız istismar edildi ve tüm kasaları hemen duraklattık. Güvenlik açığı belirlendi ve hack, dForce’un wstETH/ETH-Curve kasasına özeldi.”
On Feb 10, our wstETH/ETH Curve vaults on Arbitrum & Optimism were exploited and we immediately paused all vaults. The vulnerability is identified, and the exploit was specific to dForce's wstETH/ETH-Curve vault. Users' funds supplied to dForce Lending and other vaults are SAFE.
— dForce (@dForcenet) February 10, 2023
Önde gelen iki kripto güvenlik şirketi BlockSec ve PeckShield’a göre, saldırıdan kaynaklanan toplam kayıplar yaklaşık 3,6 milyon dolardı. Peckshiled, dForce’un Arbitrum ikinci katman protokolünden canlı olarak yaklaşık 1.236.65 ETH ve 719.437 USX kaybettiğini belirtti.
PeckShield ayrıca, çalınan yaklaşık 1.037.492 USDC’nin @optimismFND’de olduğunu vurguladı. Raporlar, “ilk analizlerinin temel nedenin bir oracle fiyat sorunu olduğunu gösterdiğini” belirtiyor. Toplam kayıp, Arbitrum’da yaklaşık 1,91 milyon dolar ve Optimism’de 1,73 milyon dolar.
Hack nasıl gerçekleşti?
Yeniden giriş hatası, Curve Finance’e bağlandığında Arbitrum ve Optimism üzerindeki oracle fiyatlarını hesaplamak için dForce tarafından kullanılan bir akıllı sözleşme işlevinde mevcuttu. “get_virtual_price” olarak bilinen özel işlev, tahmini bir oracle fiyatı veren bir komuttur ve Curve’ye bağlandığında herhangi bir protokol tarafından çağrılabilir. Likidite havuzu belirtecinin fiyatını hesaplamak için kullanılır.
BlockSec’in güvenlik hizmetleri direktörü Matthew Jiang, oracle fiyatlarını hesaplamak için “get_virtual_price” işlevini kullanan dForce dahil tüm protokollerin savunmasız olduğunu söyledi. Sorunun herkes tarafından bilindiğini ve Curve’ün kendisini etkilemediğini de sözlerine ekledi. Yine de, kötü niyetli aktörler tarafından yeniden giriş saldırıları gerçekleştirmek üzere manipüle edilebileceğinden, projelerin oracle fiyatlarını tahmin ederken daha dikkatli olması ve ek adımlar atması gerekiyor.
The estimated loss of today's @dForcenet hack is ~$3.65M (w/ 1,236.65 ETH + 719,437 USX on @arbitrum and 1,037,492 USDC on @optimismFND). Our initial analysis shows the root cause is an oracle price issue. More details to come! https://t.co/PEzoX1emdp pic.twitter.com/tI9BPcfvWH
— PeckShield Inc. (@peckshield) February 10, 2023
Kriptokoin.com olarak aktardığımız günün bir diğer yüksek profilli hack saldırısı, Binance CEO’su Changpeng Zhao’dan övgü alan sıcak saklama yöntemi Trust Wallet üzerinde meydana geldi.
KAYNAK : Kripto Koin
