13 Mart 2023’te, borç verme protokolü Euler Finance, dokuz haneli sayılara kadar çıkabilen kayıplarla sonuçlanan ani bir kredi taarruzunda maksat alındığından değerli bir darbe aldı. Altcoin projesi kısa müddet evvel akının detaylarını yayınlayarak bilgisayar korsanının protokolü nasıl istismar edebildiğine ışık tuttu. İşte detaylar…
Altcoin hack’inin ayrıntıları ortaya çıktı
Proje, resmi Twitter hesabında, sorunu çözmek için aldığı tedbirleri açıklayan bir “otopsi” güncellemesi paylaştı. Bu tedbirler ortasında, mevduatları bloke eden EToken modülünün ve atağın gerçekleşmesini sağlayan savunmasız bağış fonksiyonunun devre dışı bırakılması yer alıyordu. Proje ayrıyeten, fonların araştırılmasına ve kurtarılmasına yardımcı olmak için TRM Labs, Chainalysis ve daha geniş Ethereum güvenlik topluluğunu da görevlendirdi. Ayrıyeten, ABD ve Birleşik Krallık’taki kolluk kuvvetlerine bilgi verdi ve onlarla bilgi paylaştı.
https://twitter.com/eulerfinance/status/1635431834631766018
Proje ayrıyeten seçenekleri hakkında daha fazla bilgi edinmek için atağın failleriyle bağlantıya geçmeye çalıştı. Euler Finance’in kontrol ortağı Omniscia, saldırıyı detaylı olarak tahlil eden teknik bir otopsi hazırladı. Omniscia’nın raporuna nazaran saldırgan, protokolün rezervlerine fon bağışlayarak karşılıksız bir token borç durumu oluşturmalarına imkan tanıyan güvenlik açığından yararlandı. Sonuç olarak, saldırgan bu zarardaki hesaplarını tasfiye edebildi ve tasfiye getirilerinden kâr elde etti. Euler Finance, protokolü denetlemek için çeşitli güvenlik kümeleriyle birlikte çalıştı ve güvenlik açığı bulunan kod, bir dış kontrol sırasında incelenip onaylansa da güvenlik açığı keşfedilmedi.
Euler hack’i bu projeleri de etkiledi
Güvenlik açığı, bu müddet zarfında 1 milyon dolarlık bir kusur ödül programı sunan projeye karşın, akın gerçekleşene kadar sekiz ay boyunca zincirde kaldı. Euler Finance, atağın kullanıcıları üzerindeki tesirinden duyduğu yıkımı lisana getirdi ve sorunu ellerinden geldiğince çözmek için güvenlik ortakları, kolluk kuvvetleri ve daha geniş toplulukla birlikte çalışma kelamı verdi. Ne yazık ki Euler Finance’in tesiri başka birçok DeFi projesine de sıçradı zira baızları, eserlerini oluşturmak için Euler platformunu kullanıyor. Euler’dan etkilenen birtakım tanınan altcoin projeleri şunları:
- Balancer: İşletme, bbeUSD tokenları olarak Euler’e 11,9 milyon dolar aktardı.
- Yearn Finance: Tahmini kaybı 1,38 milyon dolar.
- Angle Protocol: Tahmini kaybı 17 milyon USDC.
- Yield Protocol: Tahmini kaybı 1,5 milyon dolar.
- Inverse Finance: Kestirimi kaybı 860.000 dolar.
Mean, Opyn ve Sense üzere başka isimler de kayıplara uğradı. Önde gelen bir sigorta sağlayıcısı olan Sherlock, Euler Finance tarafından maruz kalınan zararın 200 milyon dolara ulaştığını ve bugüne kadar sigortalı varlıkların 4.5 milyon dolarlık kısmının sırf 3.3 milyon dolarının ödendiğini bildirdi. Firma, atağın ana nedenini doğruladığını, Euler Finance’e bir hak talebinde bulunmasında yardımcı olduğunu, sav üzerinde oylama yaptığını ve oylamanın kabul edildiğini ve ödemeyi gerçekleştirdiğini belirtti. Sherlock, Euler’in birinci müşterilerinden biridir ve geçmişte projenin denetçileriyle çalışmıştır.
Unfortunate news@eulerfinance, a Sherlock protocol customer, was hacked earlier today for ~$200M.
Sherlock verified the root cause, helped Euler submit a claim, held a vote on the claim for $4.5M (which passed), and executed $3.3M of the payout today.https://t.co/CT7aBml9bV
— SHERLOCK (@sherlockdefi) March 13, 2023
Euler Finance’in güvenlik kontrolünün Sherlock’un müsabaka modeli piyasaya sürülmeden evvel yapıldığını belirtmekte yarar var. Bu, mevcut Sherlock kontrol yarışlarında tipik olarak projeleri inceleyen 100-200 kişi yerine sadece birkaç yetenekli kişinin kod tabanını incelediği manasına geliyordu. Bu, projede yer alan herkes için acı verici bir ders oldu.
Geleneksel piyasa ile karşılaştırıldığında EUL ne durumda?
Wall Street, her ikisi de kripto dostu olan Silicon Valley Bank (SVB) ve Signature Bank’ın çöküşlerini sindirirken, First Republic’in (FRC) yüzde 62’lik düşüşü Pazartesi günü bankacılık kesiminin dalışına neden oldu. Karşılaştırıldığında Euler, bir saldırganın Euler Finance’ten yaklaşık 200 milyon doları yağmalamak için flaş kredi kullandığı bir istismarın akabinde kabaca yüzde 50 bedel kaybetti. İki varlık, Pazartesi günü kendi pazarlarında en çok kaybedenler oldu. Fakat Kriptokoin.com olarak da bildirdiğimiz üzere kriptoda, tüm banka alacaklılarının tazmin edileceği haberini takiben neredeyse her varlık ralli yaptı.
FRC ve EUL’ün fiyat hareketleri, yatırımcıların piyasa olaylarına ait algılarının gerçek olaylardan nasıl daha tesirli olabileceğinin altını çiziyor. First Republic temerrüde düşmedi, iflas etmedi yahut hükümet tarafından ele geçirilmedi; aslında, likiditesini desteklemek için hafta sonu 70 milyar dolar topladı. Bu ortada Euler, geri alma umudunun çok az olduğu yüz milyonlarca doları kaybetti. Yeniden de traderlar FRC paylarını daha sert bir biçimde cezalandırdı.
Yine de güvenlik, DeFi alanındaki en büyük tasalardan biridir ve bu atak, her projede canlıya geçmeden evvel kapsamlı güvenlik kontrolleri gerçekleştirmenin ne kadar kıymetli olduğunu göstermiştir. Euler Finance bu akından kurtulabilse de, prestijine ve daha geniş DeFi ekosistemine verdiği ziyan şimdiden belirli. Yazım sırasında EUL, yüzde 50’lik bir düşüş ile 3.12 dolardan el değiştiriyor.
KAYNAK : Kripto Koin
