Geçtiğimiz 24 saat içerisinde, iki altcoin projesi için hack saldırısı gündeme geldi. NFT ödünç verme platformu JPEG’d 11 milyon dolarlık bir zararla karşı karşıya kaldı. Üstelik JPEGG tokenı yüzde 40 değer kaybetti. Diğer yandan, popüler DeFi platformu Curve Finance’in tokenı CRV, hack haberiyle yüzde 15 düştü. İşte detaylar…
NFT platformu JPEG’d saldırıya uğradı: Altcoin fiyatı yüzde 40 düştü
30 Temmuz 2023 tarihinde, önde gelen siber güvenlik firması Peckshield bir duyuru yaptı. NFT borç verme projesi JPEG’d’in (JPEG) yıkıcı bir saldırıya uğradığını açıkladı. 11 milyon doların üzerinde bir değere sahip 6.106 WETH’e varan kayıplara neden olduğunu bildirdi. Güvenlik uzmanlarına göre, bilgisayar korsanları son aylarda giderek yaygınlaşan bir teknik kullandı. Salt okunur reentrancy saldırısını kullandılar. Basit bir ifadeyle, bu saldırı, oracle doğru bakiyeyi güncellemeden önce para çekme komutlarının tekrar tekrar yürütülmesini içeriyor. Platformun fiyat referans sisteminin manipüle edilmesini sağlıyor.
Kriptokoin.com olarak da bildirdiğimiz gibi saldırı yöntemi, birçok proje ile karşımıza çıktı. Bunlardan bazıları Conic Finance (3,2 milyon dolar), Era Lend (3,4 milyon dolar) ve Sturdy Finance (800.000 dolar). Böylece kötü niyetli aktörler arasında artan popülaritesini vurguladı. Saldırı haberinin ardından JPEG token’ın fiyatı yüzde 40’ın üzerinde şaşırtıcı bir düşüş yaşadı. Altcoin piyasasının siber güvenlik olaylarına verdiği güçlü tepkiyi ortaya koydu. Sonuç olarak, JPEG’d projesine yapılan saldırı, kripto para sektöründe güvenliğin önemi hakkında acı bir ders niteliğindedir. Projeler ve platformlar, sistemlerinin güvenilirliğini artırmaya odaklanmalı.
Curve hack’inde neler oldu?
Son 24 saat içinde, en büyük stablecoin borsası olan Curve Finance, likidite havuzlarına yönelik bir dizi amansız saldırıyla karşı karşıya kaldı. Projeden yapılan bir duyuruya göre, Vyper 0.2.15 programlama dilini kullanan alETH, msETH ve pETH dahil olmak üzere birkaç stabil havuz, tekrarlanan yeniden merkezleme saldırılarının kurbanı oldu. Curve Finance tarafından atılan tweette, “Vyper 0.2.15 kullanan bir dizi stablepool (alETH/msETH/pETH), arızalı bir reentrancy kilidinin bir sonucu olarak istismar edildi. Durumu değerlendiriyoruz ve gelişmeler oldukça topluluğu bilgilendireceğiz. Diğer havuzlar güvende.” dedi.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Sorunlar, yukarıda haberini verdiğimiz JPED’d’in pETH-ETH likidite havuzuna bir saldırı düzenlendiğini ve bunun sonucunda 11,4 milyon USD’ye varan kayıplar yaşandığını duyurmasıyla başladı. Kısa bir süre sonra, Metronome projesinin sETH-ETH havuzu da benzer bir ihlal yaşadı. Ardından 1,6 milyon USD’nin üzerinde para çekildi. Ardından, Alchemix, Debridge, Elippsis ve daha fazlası gibi projelere ait havuzlara yönelik saldırı raporları ortaya çıktı. Güvenlik firması BlockSec tarafından bildirildiği üzere, yukarıda bahsi geçen açık nedeniyle Curve’deki çeşitli havuzlardan toplam 41 milyon USD’nin üzerinde para çekildi.
Aave, Curve saldırısında kullanıcıları korumaya çalıştı
Wintermute Araştırma Müdürü Igor Igamberdiev, saldırganın Vyper programlama dilinin belirli bir sürümünü kullanarak fabrika havuzlarına bir yeniden merkezleme saldırısı gerçekleştirdiğini açıkladı. Vyper dilindeki hata nedeniyle bu fabrika havuzlarındaki 100 milyon USD’den fazla varlık şu anda risk altında. Ancak Vyper, yalnızca 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin saldırıya açık olduğunu, çünkü bu sürümlerde reentrancy önleme özelliğinin bulunmadığını açıkladı. Saldırıların etkisini azaltmak için proje ekibinin bir üyesi olan Mimaklas, etkilenen tüm havuzların likiditelerinin beyaz şapkalı hacker ekipleri tarafından geri çekildiğini açıkladı. İlk saldırının gerçekleşmesinin ardından, Curve DAO’nun tokenı olan CRV’nin değeri yüzde 15’in üzerinde düştü. Şu anda 0.64 dolardan el değiştiriyor.
Bu sırada Curve Finance likidite havuzlarına yönelik devam eden acımasız saldırılara hızlı bir yanıt olarak, Aave Ethereum v2 sürümü CRV ödünç alma işlevini devre dışı bırakarak ihtiyati tedbirler aldı. CRV ödünç alma işlevini devre dışı bırakma kararı, Aave yönetimine acil durumlarda belirli varlıkların ödünç alma işlevini kısıtlama yetkisi veren Aave İyileştirme Önerisinde (AIP-125) belirtilen yönergelerle uyumludur. Bu önlem, platformun bütünlüğünü korumak ve çalkantılı zamanlarda kullanıcıların fonlarını korumak için alınmıştır.
Şu an itibariyle Aave v2, 300 milyonun üzerinde CRV tokeninden oluşan önemli bir kaynağa sahiptir ve bunların yaklaşık yüzde 95’i CRV kurucusu Michwill’in kaynağından gelmektedir. Bununla birlikte, altcoin CRV için borçlanma faaliyeti nispeten düşük olmuştur ve şu ana kadar yalnızca yaklaşık 35 milyon CRV ödünç alınmıştır. Aave v2, CRV ödünç alma işlevini geçici olarak devre dışı bırakarak bu saldırıların platform üzerindeki etkisini azaltmayı amaçlıyor.
