DeFi protokolü olan Free DAO, bugün “flash loan” saldırısına uğrayarak 1,25 milyon dolarlık bir kayıp yaşadı. Platforma ait yerel bir token olan NFD fiyatı %99 oranında düşüş yaşadı.
Kripto para platformlarına yönelik saldırılar dur durak bilmeden devam ediyor. Dün, Avalanche blok zincirinde yine bir flash loan saldırısı tespit edilmişti. Saldırı esnasında çeşitli likidite sağlayıcıları ve akıllı sözleşmelerden toplamda 370 bin dolarlık USDC çalındı. Gece saatlerinde gerçekleşen siber saldırıdan DeFi borsası Trader Joe, bahis platformu Nereus Finance ve Curve Finance‘ın etkilendiği belirtildi. Bu bilgiyi haberimizde vermiştik.
Bilinen kredi platformlarının aksine, birkaç DeFi protokolü, kullanıcıların teminat yatırmadan büyük miktarlarda varlık ödünç almalarına olanak sağlayan hızlı krediler sunuyor. Kullanıcılara sunulan tek şart ise kredinin belirlenen süre içerisinde tek işlemle iade edilmesi. Kötü niyetli aktörler ise DeFi protokollerini suistimal etmek için açıklardan faydalanarak fon toplar.
Saldırı nasıl gerçekleşti?
Kullanıcıları uyaran açıklamada, hacker’ın doğrulanmamış bir sözleşme ile kendisini üye olarak eklemek için “addMember0” işlevini açtığı bildirildi. Daha sonra doğrulanmamış sözleşmenin yardımıyla üç hızlı kredi saldırısı gerçekleştirdi.
Saldırganın önce 69.825 dolar değerinde 250 WBNB ödünç aldığı ve hepsini ağın yerel token’ı NFD ile takas ettiği bildirildi. Sözleşme daha sonra tekrar airdrop ödüllerini talep etmek için birden fazla sözleşme kullandı. Saldırgan daha sonra tüm airdrop ödüllerini 4481 BNB’den alarak WBNB ile takas etti.
İki hack’in arkasında da aynı isim mi var?
Blockchain güvenlik firması Certik, bugün yaptığı açıklamada Free DAO’da flash loan saldırısı yaşandığını ve NFD’de %99 fiyat düşüşün görüldüğünü söyledi.
CertiK ayrıca, NFD’ye yönelik olan saldırının arkasındaki hacker’ın, bu yılın başlarında Neorder’de gerçekleşen saldırıyla ilgisi olduğunu da belirtti. Her iki saldırının arkasındaki ismin bu kişi olabileceği başka bir siber güvenlik firması Beosin tarafından doğrulandı.
Platformdaki güvenlik açığı açıklandı: Yeni saldırı gelebilir!
Beosin ayrıca, başka bir tür siber saldırı için kullanılabilecek Free DAO protokolüyle ilgili başka bir güvenlik açığının altını çizdi. Güvenlik firması, “çiftteki USDT1 bakiyesi kullanılarak hesaplandığından, fiyatların manipüle edilebileceğini, bu nedenle istismar edilirse yeni bir “flash loan” saldırısına yol açabileceğini açıkladı.
Hacker’ın 4481 BNB olarak aldığı kredinin 250 BNB kısmını iade ederek, 2000 BNB’yi ise 550.000 BSC-USD ile değiştirdiği ortaya çıktı. Daha sonra saldırganın 400 BNB’yi kripto karıştırıcısı Tornado Cash’e taşıdığı kaydedildi.
