Merkezi olmayan finans ( DeFi ), aracıları krediler,
tasarruflar ve takaslar gibi finansal ürün ve hizmetlerden kesen blok zinciri
uygulamalarını ifade eder. DeFi yüksek ödüllerle gelirken, birçok risk de
taşıyor.
Hemen hemen herkes bir DeFi protokolü başlatıp bazı akıllı
sözleşmeler yazabildiğinden , koddaki kusurlar yaygındır. Ve DeFi'de, bu
kusurlardan yararlanmaya hazır ve bunu yapabilen pek çok vicdansız aktör var.
Bu olduğunda, çoğu zaman kullanıcılar için herhangi bir rücu olmaksızın
milyonlarca dolar tehlikeye atılıyor.
Elliptic'in Kasım ayı raporuna göre, DeFi kullanıcıları
2021'de hırsızlık nedeniyle 10.5 milyar dolar kaybetti. Ancak en büyük DeFi
istismarları listemizin gösterdiği gibi, bu rakam o zamandan beri milyonlarca
arttı. (Aşağıdaki tüm rakamlar olay anındaki fonların değerleridir.)
12 . Grim Finance: 30 Milyon Dolar
Aralık 2021'de protokol, bir saldırganın daha önceki bir
işlem henüz sonuçlanmamışken bir kasaya sahte ek para yatırma işlemi yaptığı
bir tür istismar türü olan yeniden giriş saldırısına maruz kaldı. Sonunda
saldırı, akıllı sözleşmeyi kandırarak 30 milyon dolarlık Fantom tokenlerini
serbest bıraktı.
DeFi protokolleri normalde bu tür saldırıları önleyen kod
parçaları olan yeniden giriş korumalarını kullanır. Grim Finance'in Solidity
Finance'ten gelen denetim raporu, protokolün yeniden giriş korumaları olduğunu
yanlış bir şekilde belirtti ; bu, denetimlerin, istismarların olmayacağının
garantisi olmadığını hatırlattı.
11 . Meerkat Finance: 31 Milyon Dolar
Bazen bir DeFi protokolünün ilk istismarından etkilenmesi uzun
sürmez. Binance Akıllı Zincir tabanlı kredi protokolü Meerkat Finance , Mart
2021'de piyasaya sürüldükten sadece bir gün sonra kullanıcı fonlarında 31
milyon dolar kaybetti.
Saldırgan, sözleşmede, adreslerinin kasa sahibi olmasını
sağlayan bir işlev çağırdı ve projeyi Binance'in stabilcoin BUSD'sinde 13.96
milyon dolar ve ayrıca 73.000 BNB'yi (Binance'in yerel jetonu) boşalttı. BNB
soygunu o sırada yaklaşık 17.4 milyon dolar değerindeydi.
Birçok kullanıcı bunun içeriden bir iş olduğunu savundu:
protokolün geliştiricileri tarafından bir halı çekme. Meerkat iddiaları
yalanladı.
10 .Vee Finance: 35 Milyon Dolar
2021 yazında Avalanche etkinliğinde bir artış görüldü ve bu
da blockchain ağının yeni gelişen ekosisteminden yararlanmaya aç olanları da
cezbetti.
Eylül 2021'de, borç verme platformu Vee Finance , kilitlenen
varlıkların toplam değerinde 300 milyon dolarlık bir dönüm noktasını
kutladıktan sadece bir hafta sonra , Avalanche ağındaki en büyük istismardan
zarar gördü .
Saldırı, büyük ölçüde , Vee Finance'in kaldıraçlı ticaret
özelliği, Avalanche'ın ana likidite protokolü Pangolin tarafından sağlanan
token fiyatlarına dayandığı için mümkün oldu. Saldırgan bunu kötüye kullanmak
için Pangolin'de yedi işlem çifti yarattı, likidite sağladı ve sonunda Vee'ye kaldıraçlı
işlemler yerleştirdi. Bu, protokolden 35 milyon dolarlık kripto para
çekmelerine izin verdi.
"Sevgili Bay/Bayan 0x** 95BA "ya gönderilen bir
tweet'te protokol, saldırganın fonları bir ödül programının parçası olarak iade
etmesini istedi ve bu da saldırganın bir kısmını elinde tutmasına izin
verecekti. Ancak Vee korsanı parayı iade etme arzusu göstermedi.
9 . PancakeBunny: 45 Milyon Dolar
Kripto genellikle kısa ama yoğun geçici heveslerden geçer.
Ve 2021 baharında, Binance Akıllı Zincir (BSC) (şimdi sadece BNB Zinciri),
düşük ağ ücretleri nedeniyle özellikle perakende kullanıcıları için en sıcak
DeFi trendiydi.
Ancak BSC aynı zamanda birçok dolandırıcılığa ve hack'e de
ev sahipliği yaptı; bunların en büyüğü, Mayıs 2021'de verim odaklı tarım
protokolü PancakeBunny'yi hedef alan bir istismardı.
Bir bilgisayar korsanı, PancakeBunny'nin fiyatlandırma
algoritmasını bir dizi sekiz hızlı kredi saldırısı yoluyla manipüle etti ve
protokolün yerel belirteci $BUNNY'nin fiyatını yükseltti. Hacker, piyasa
fiyatları üzerinden BUNNY$'ı ucuza alıp yapay olarak şişirilmiş yüksek
fiyatlara satarak 45 milyon$'lık bir kazanç elde etti.
8 . bZx: 55 Milyon Dolar
Çok zincirli borç verme protokolü bZx, bir "özel
anahtarın" ele geçirilmesinin ardından Kasım 2021'de saldırıya uğradı .
Protokol, Binance Smart Chain ve Polygon'da dağıtılan toplam 55 milyon dolar
kaybetti.
Ancak bZx daha önce iki kez benzer acılardan geçmişti.
Şubat 2020'de marj ticareti
platformu Fulcrum'ı hedef alan flaş kredi saldırılarına maruz kaldı .
Bilgisayar korsanı, o sırada 366.000 dolar değerinde 1.300 wETH ile
kaçtı.
Eylül 2020'deki başka bir saldırıda bZx, kasalarında kilitli
olan ve ardından 8 milyon dolar değerinde olan fonların %30'unu kaybetti.
Bununla birlikte, açık marj pozisyonları olan kullanıcılar, protokolün daha
sonra bir raporda belirtildiği gibi, bu fonlar bZx'in sigorta fonuna karşı
borçlandırıldığı için zarar görmedi.
7. Badger DAO: 120 Milyon Dolar
Bir DeFi projesinden milyonları buharlaştıran her zaman akıllı
sözleşme güvenlik açığı değildir.
Aralık 2021'de Bitcoin-DeFi köprüsü Badger DAO ,
dolandırıcıların Badger DAO üyelerini, kullanıcıların kasa fonlarını kontrol
etmelerine ve fonları taşımalarına izin veren kötü amaçlı işlemleri onaylamaya
yönlendirmesinden sonra 120 milyon dolarlık bir zarara uğradı.
Blockchain güvenlik firması PeckShield, protokolün
sözleşmelerinin istismara karşı güvende olduğunu ve yalnızca kullanıcı
arayüzünün etkilendiğini söyledi.
6. Cream Finance: 130 Milyon Dolar
Kredi protokolü Cream Finance , Ekim 2021'deki bir flash kredi saldırısında 130 milyon dolar kaybetti ve bu, protokolün uğradığı üçüncü
saldırı oldu.
Flash krediler , aynı işlemde geri ödemeniz koşuluyla anında
kredi almanıza olanak tanıyor. Arbitraj oyunları için yararlı olsalar da, kötü
niyetli aktörler tarafından DeFi protokollerindeki güvenlik açıklarından
yararlanmak için yaygın olarak kullanılır. Cream Finance söz konusu
olduğunda, flash kredi korsanı, farklı Ethereum adresleri üzerinden art arda
flash krediler alarak bir fiyatlandırma güvenlik açığından yararlanmayı
başardı.
Cream her şeyi daha önce görmüştü. Ağustos 2021'de, bir
bilgisayar korsanı, öncelikle Flexa Network'ün yerel belirteci AMP'yi hedef
alan başka bir flash kredi saldırısında yaklaşık 25 milyon dolar çaldı . Ve bir
Şubat 2021 flaş kredi saldırısında, bilgisayar korsanları protokolün havuzundan
37,5 milyon dolar çaldı .
5. Vulcan Forged: 140 Milyon Dolar
Play-to-earn, kriptodaki en yeni trendlerden biridir, ancak eski okul hilelerinden ve tuzaklarından, özellikle de merkezi özelliklerden yararlananlardan muaf değildir. Polygon'da Play-to-earn platformu olan Vulcan Forged, kullanıcılarının 140 milyon dolar kaybettiği Aralık 2021'de bu dersi zor yoldan öğrendi .
Otopsi raporuna göre, bir bilgisayar korsanı, 96 kripto
cüzdanının özel anahtarlarını ele geçirmek için platformun merkezi kullanıcı
cüzdanlarının (Venly) kimlik bilgilerini aldı. Daha sonra bilgisayar korsanı,
platformun varlık portföyü özelliği olan MyForge'daki özel anahtarları elde
etmek için kullandı ve sonunda 4,5 milyon Vulcan Forged yerel PYR jetonunu elde
etti.
Topluluğa hitaben yaptığı konuşmada Vulcan Forged CEO'su
Jamie Thomson, "İleriye dönük olarak, elbette, merkezi olmayan
cüzdanlardan başka bir şey kullanmayacağız, bu yüzden bu sorunla bir daha asla
karşılaşmayacağız" dedi.
4. Compound: 150 Milyon Dolar
Çoğu DeFi protokolü gibi, borç verme protokolü Bileşik'in
bir yönetişim belirteci COMP vardır. Protokol, belirteçleri belirli koşullar
altında kullanıcılara dağıtır.
Ekim 2021'de, Compound'un borç alanların COMP'ta
hedefledikleri paydan daha fazlasını talep etmelerine izin veren bir bug —“
DeFi'deki en iyi saklanan sır ” olduğu ortaya çıktı. Hata, kasalarından ikisini
veya akıllı sözleşmedeki fon havuzlarını içeriyordu. Kullanıcılar, Rezervuar
kasasında, başka bir kasayı, Comptroller'ı yeniden dolduracak olan belirli bir
işlevi —drip()— çağırırdı. Bu kasa, büyük miktarlarda COMP'u otomatik olarak
yanlış adreslere dağıtırdı. Sızdıran musluk, önceki bir protokol
güncellemesinde ortaya çıkan bir hatanın sonucuydu.
80 milyon dolarlık COMP yanlış kişilere gönderildikten
sonra, ekip bir düzeltme yama yapmak için acele etti. Ancak herhangi bir düzeltme
uygulanmadan önce, protokolün geçmesi için bir yönetişim önerisi gerekiyordu. 2
Ekim'de oluşturuldu ve nihayet 9 Ekim'de kabul edildi. Topluluk tartışırken,
kasalar 68,8 milyon dolar daha kaybetti.
Compound'un kurucusu Robert Leshner parayı nasıl geri almaya
çalıştı? Tweet atarak, “COMP'u topluluğa geri veren herkes uzaylı bir
giga-chad; ve eğer bir uzaylı giga-chad ekibi beni çağırırsa, ortaya
çıkacağım.” Paranın neredeyse yarısı iade edildi.
3. Wormhole: 326 Milyon Dolar
Üzerinde DeFi bulunan daha fazla katman-1 blok zinciri
olduğu için, kullanıcıların zincirler arasında para transferi yapmaları için
daha büyük bir istek var. Zincirler arası köprüler bu ihtiyacı karşılar, ancak
aynı zamanda yeni güvenlik açıklarını da beraberinde getirir. Zincirler arası en
zarar verici olay, Ocak 2022'de popüler bir köprü olan Wormhole'un Wrapped
Ethereum'da (wETH) 320 milyon dolar kaybettiği zaman meydana geldi. WETH, 1:1
temelinde Ethereum fiyatına sabitlenmiş bir kripto para birimidir.
Bilgisayar korsanı, Solana'daki köprünün bacağını hedef
aldı, burada kullanıcılar önce Ethereum'u bir akıllı sözleşmeye kilitlemek
zorunda kaldı ve böylece Wrapped Ethereum'da eşdeğer bir miktar elde etti.
Bilgisayar korsanı, ETH'yi Wormhole'da kilitlemeden WETH'yi basarak bunu
aşmanın bir yolunu bulmayı başardı.
Wormhole'un geliştirilmesinde bir paydaş olan Jump Trading
Group, Wormhole'un Ethereum kasasını yenilemek ve tekrar bütün hale getirmek
için inisiyatif aldı .
2 . Ronin: 552 Milyon Dolar
NFT destekli oyna-kazan oyunu Axie Infinity , geçen yılın en
büyük kripto başarı öykülerinden biridir. 23 Mart 2022'de, "saldırıya
uğramış özel anahtarlar" kullanılarak köprüden Ronin yan zincirine
yaklaşık 552 milyon dolarlık kripto para akıtılarak kriptodaki en büyük
hacklerden birinin kurbanı oldu.
Bir hafta sonra Axie Infinity geliştiricisi Sky Mavis
tarafından istismar açıklandığında, çalınan fonların değeri 622 milyon dolara
yükselmişti.
Sky Mavis'ten gelen bir
rapora göre , saldırgan "Axie DAO doğrulayıcısının imzasını almak
için kötüye kullandıkları gassız RPC düğümümüz aracılığıyla bir arka kapı"
kullandı.
Sky Mavis'in Kasım 2021'de yüksek kullanıcı yükü nedeniyle
ücretsiz işlem dağıtmak için Axie DAO'ya yöneldiğini açıklayan raporda,
"Axie DAO, Sky Mavis'in kendi adına çeşitli işlemlere imza atmasını
sağladı. Bu Aralık 2021'de durduruldu, ancak izin verilenler listesine erişim
iptal edilmedi."
Saldırgan daha sonra bu açığı kullanarak, AxieDAO'nun düğümü
ve Sky Mavis'in dördü kendi düğümleri dahil olmak üzere Ronin ağındaki dokuz
doğrulayıcı düğümden beşinden işlemleri imzalayabildi. Bu da saldırganın sahte
işlemler yapmasına ve toplamda yaklaşık 622 milyon dolar olan 173.600 WETH
(Wrapped Ethereum) ve 25.5 milyon USDC talep etmesine izin verdi.
Axie Infinity'nin kurucu ortağı Jeff Zirlin, "tarihin
en büyük hack'lerinden biri" olarak nitelendirerek, " [hacker]'ın
tespit edilip adalete teslim edilme şansı olduğunu" kaydetti .
1. Poly Network: 611 Milyon Dolar
Poly Network hack, yalnızca DeFi'nin değil, kriptonun en
büyüğü olmaya devam ediyor . Neyse ki, 10 Ağustos 2021'de başlayan destan, bir
dizi garip bükülmenin ardından üç gün sonra mutlu bir şekilde sona erdi.
Soygun, bir bilgisayar korsanının Poly Network'ün
"sözleşme çağrıları"ndaki (protokolü güçlendiren kod parçaları) bir
güvenlik açığından yararlanmasıyla başladı. Hacker, çeşitli kripto para
birimlerinde 611 milyon doları hızla kaçırdı ve Poly'nin “Sevgili Hacker”
selamıyla bir umutsuzluk mektubu yayınlamasına yol açtı .
Bu iletişim girişimi ve müteakip sosyal yardım çabaları
sonunda işe yaradı. Protokol, yarım milyon dolarlık bir ödül ve bilgisayar
korsanına baş güvenlik danışmanı olma fırsatı sundu. Ancak zincir içi bir
Soru-Cevap oturumunda bilgisayar korsanı , istismarın yalnızca Poly Network'e
bir ders verme amaçlı olduğunu açıkladı . Çalınan fonları iade etmenin
"her zaman plan" olduğunu söylediler.
Cryptocurrency güvenlik firması SlowMist, saldırganın kimlik
belirteçlerini tespit ettiğini ve istismarın "büyük olasılıkla uzun
süredir planlanmış, organize ve hazırlanmış bir saldırı" olduğunu söyledi.
Hacker, içeriden biri olduklarını reddederek, "Artık
herkes bir komplo kokusu alıyor," dedi . "Ama kim bilir?"
0 Yorumlar