Gerçek dünya varlığı (RWA) likidite firması Curio, oylama gücü ayrıcalıklarıyla ilgili kritik bir güvenlik açığını içeren ve saldırganın kripto varlıklardan 16 milyon dolar çalmasına olanak tanıyan bir akıllı sözleşme saldırısına maruz kaldı. Curio, topluluğunu saldırı konusunda uyardı ve durumu ele aldıklarını vurguladı. Şirket, Curio içinde kullanılan MakerDAO tabanlı bir akıllı sözleşmenin ihlal edildiğini açıkladı.
16 Milyon Dolarlık Hack Saldırısı
Konuya ilişkin şirket, kullanıcılarına saldırının yalnızca Ethereum tarafını etkilediğini ve tüm Polkadot ve Curio Chain sözleşmelerinin güvende kaldığını garanti etti. Web3 güvenlik firması Cyvers, saldırdan kaynaklanan kayıpların yaklaşık 16 milyon dolar olduğunu tahmin ediyor. Güvenlik firması saldırının bir izin erişim mantığı güvenlik açığı içerdiğini söyledi.
25 Mart’ta Curio, söz konusu saldırının bir post-mortemini ve etkilenen kullanıcılar için bir tazminat planı yayınladı. Raporda Curio, sorunun oylama gücü ayrıcalık erişim kontrolündeki bir kusur olduğunu vurguladı. Bu sayede saldırgan az sayıda Curio Governance (CGT) token’ı elde ederek projenin akıllı sözleşmesine erişim sağladı ve oylama gücünü artırdı.
Yükseltilmiş oylama gücüyle saldırgan nihayetinde Curio DAO sözleşmesi içinde keyfi eylemlerin yürütülmesine izin veren bir dizi adım gerçekleştirdi. Bu da 1 milyar CGT’nin izinsiz olarak basılmasına yol açtı.
Curio Ekibinden Dikkat Çeken Adımlar
Raporda Curio, saldırıdan etkilenen tüm fonların iade edileceğini söyledi. Ekip, CGT 2.0 adlı yeni bir token çıkaracağını söyledi. Yeni token ile ekip, CGT sahipleri için fonların %100’ünü geri getirme sözü verdi. Likidite sağlayıcıları için Curio, bir fon tazminat programı yürüteceğini söyledi. Ekip, her aşaması 90 gün sürecek şekilde dört aşamada ödeme yapılacağını açıkladı. Bu adım, tam ödemenin potansiyel olarak bir yıl sürebileceği anlamına gelebilirken ekip konuya yönelik şu ifadeleri paylaştı:
“Tazminat programı her biri 90 gün sürecek 4 ardışık aşamadan oluşacak. Her aşamada likidite havuzlarındaki ikinci token tarafından maruz kalınan kayıpların %25’i tutarında USDC/USDT paritesinden tazminat ödenecek.”
Şirket ayrıca kaybedilen fonların geri kazanılmasına yardımcı olabilecek beyaz şapkalı bilgisayar korsanlarını ödüllendireceğini de söyledi. Ekip, bilgisayar korsanlarının ilk kurtarma aşamasında kurtarılan fonların %10’una eşdeğer bir ödül alabileceğini açıkladı.
