Stablecoin kredi verme protokolü Curve Finance hack’lendi ancak ”yardımsever” hacker fonların bir kısmını iade etti.
Merkeziyetsiz finans (DeFi) sektörü önemli bir aksilikle daha karşı karşıya kaldı. Önde gelen bir DeFi protokolü olan Curve Finance, 30 Temmuz’da siber saldırıya uğradı ve 47 milyon doları aşan kayıpla karşı karşıya kaldı. Bu olay, Curve Finance’teki birkaç sabit havuzun kullandığı Vyper 0.2.15, 0.2.16 ve 0.3.0 sürümlerindeki bir güvenlik açığının bir sonucunda gerçekleşti.
A number of stablepools (alETH/msETH/pETH) using Vyper 0.2.15 have been exploited as a result of a malfunctioning reentrancy lock. We are assessing the situation and will update the community as things develop.
Other pools are safe. https://t.co/eWy2d3cDDj
— Curve Finance (@CurveFinance) July 30, 2023
Başka bir deyişle, istismarın birincil nedeni, Ethereum Sanal Makinesi’ni (EVM) hedefleyen sözleşme odaklı bir programlama dili olan Vyper’ın belirli sürümlerinin yeniden merkezleme kilitlerinde meydana gelen bir arızaydı. Bu programlama dili, Python’a benzerliği nedeniyle Web3’e geçiş yapan Python geliştiricileri için tercih edilen bir seçim.
İlk araştırma, bu Vyper derleyici sürümlerinin reentrancy korumasını doğru şekilde uygulamadığını ortaya koyuyor. Reentrancy saldırıları, bir sözleşme kilitlendiğinde meydana geliyor ve birden fazla işlevin aynı anda yürütülmesini engelliyor. Eğer doğru şekilde uygulanmazsa, bu durum potansiyel olarak bir sözleşmedeki tüm fonları tüketebiliyor.
Güvenlik firması Ancilia tarafından etkilenen sözleşmeler üzerinde yapılan bir analize göre, 136 sözleşme reentrant korumalı Vyper 0.2.15’i, 98 sözleşme Vyper 0.2.16’yı ve 226 sözleşme Vyper 0.3.0’ı kullandı.
We did a fast run on github.
136 contracts found compiled with vyper 0.2.15 and used reentrant protection;
98 contracts found with 0.2.16 version
226 contracts found with 0.3.0 version— Ancilia, Inc. (@AnciliaInc) July 30, 2023
Bu arada ‘reentrant’, bir işlev veya yöntem içinde başka bir işlev veya yöntem çağrıldığında, çağrılan bu ikinci işlevin tekrar başlangıçtaki ana işleve dönerek yeniden çalışabilmesi durumuna deniyor.
Edinilen bilgilere göre, CRV/ETH havuzunun boşaltılmasından dakikalar sonra ise bir kurtarma operasyonu gerçekleştirildi.
DeFi Projelerinden Çok Sayıda Çıkış Yaşandı
Birkaç DeFi projesi bu istismardan etkilenerek önemli çıkışlara yol açtı. Örneğin, merkeziyetsiz bir borsa olan Ellipsis, BNB’li birkaç sabit havuzun eski bir Vyper derleyicisi kullanılarak istismar edildiğini bildirdi. Alchemix’in alETH-ETH’i 13,6 milyon dolarlık bir çıkış gördü. JPEGd’nin pETH-ETH havuzu 11,4 milyon dolarlık hack saldırısına uğradı ve Metronome’un sETH-ETH havuzu 1,6 milyon dolar kaybetti.
CRV Token, Hack Sonrası Düştü
Yaşananların ardından ise CRV fiyatı önce 0,73 dolardan 0,70 dolara daha sonra da 0,64 dolara kadar düştü. Bu durumun Curve kurucusu olan Michael Egorov’un AAVE’den aldığı ve büyük miktarda CRV token tarafından desteklenen kredi pozisyonunu tehlikeye düşürebileceği söylendi. Zincir üstü verilere göre; borç alınan 60 milyon dolarlık stablecoin’ler 180 milyon dolar değerde CRV token tarafından destekleniyor. CRV fiyatının 0,40 doların altına düşmesi, pozisyonun tamamıyla tasfiye olması anlamına gelebiliyor. Öte yandan Egorov da saldırıdan saatler sonra, tasfiye riskini azaltacak bazı adımlar attı ve teminata eklemeler yaptı.
DeFi token son zamanlarda zorlu bir yolculuk geçirmişti. Geçtiğimiz iki hafta içinde yüzde 23 düştü. Sonuç olarak CRV, Ağustos 2020’deki tüm zamanların en yüksek seviyesi olan 15,37 dolardan yüzde 96’lık sert bir düşüş yaşadı.
DeFi ekosistemindeki tokenlerin çoğu bu ayı piyasasında sert bir darbe almıştı ve en yüksek fiyat seviyelerinden yüzde 80-90 oranında düşüş yaşamıştı.
İlgili Haberler ve İçerikler
- Bitcoin Madenciliğinde Yeni Adres Rusya
- yPredict Nereden ve Nasıl Satın Alınır?
- Wall Street Memes Token Nereden ve Nasıl Satın Alınır?
Wall Street Memes (WSM) - En Yeni Meme Coin
- 1 Milyon Takipçili Topluluk
- Deneyimli NFT Proje Sahipleri
- Ön Satış Başladı - wallstmemes.com
- Çıktığı Gün $300,000 Toplandı