Sürekli hack saldırıları ile gündeme gelen DeFi dünyası şimdi de DeFi protokolü Arcadia Finance‘in basit bir güvenlik açığının kurbanı olarak hack’lenmesini konuşuyor. Saldırganlar, Arcadia Finance’in Ethereum (darcWETH) ve Optimism (darcUSDC) kasalarından toplamda yaklaşık 455 bin dolar değerinde fon çekti.
Protokolün Çalışmasını Sağlayan Akıllı Sözleşme Geçici Olarak Askıya Alındı
Bir hacker, keşfettiği basit bir kod hatasından faydalanarak gözetim dışı merkeziyetsiz finans (DeFi) protokolü Arcadia Finance’ten yaklaşık 455 bin dolar çekti. Blockchain güvenlik şirketi PeckShield, Arcadia Finance’e yapılan saldırı hakkında uyarıda bulundu ve saldırının nedeni olarak güvenilmeyen girdi doğrulama sisteminin eksikliğini gösterdi.
Kodun, doğrulanmamış girdileri çapraz şekilde kontrol etmek için bir doğrulama mekanizmasından yoksun olduğu düşünülüyor. Bu boşluk, hacker’ın protokoldeki Ethereum (darcWETH) ve Optimism (darcUSDC) kasalarından toplamda yaklaşık 455 bin dolar değerinde fon çekmesine olanak sağladı.
Arcadia Finance, PeckShield‘in uyarısından yaklaşık iki saat sonra hack saldırısını doğruladı ve daha fazla fonunu çalınmasının önüne geçmek için protokolün çalışmasını sağlayan akıllı sözleşmenin geçici olarak askıya alındığını açıkladı.
Çalınan fonların büyük çoğunluğu (yaklaşık 180 ETH) Optimism kasasında tutuluyordu ve saldırgan bu fonların tamamını Tornado Cash‘e aktardı. Ethereum kasasından çalınan fonların tamamı ise aktarıldıkları cüzdan adresinde tutulmaya devam ediyor.
Protokolde Yeni Bir Güvenlik Açığı Tespit Edildi
Saldırıya ilişkin soruşturma devam ederken, Arcadia Finance’in keşfedilmesi halinde protokol için felaket olabilecek başka bir güvenlik açığı barındırdığı tespit edildi.
PeckShield, yaklaşık 455 bin doların çalındığı hack saldırısı sonrası yaptığı değerlendirmede “Bu güvenlik açığına ek olarak, protokoldeki dahili kasanın sağlık kontrolünü atlatmayı sağlayarak anlık tasfiyeye izin veren bir reentrancy koruması eksikliği var.” notunu düşerek uyardı.
Arcadia Finance’i hedef alan saldırı, yılın ikinci çeyreğinde gerçekleştirilen ve 300 milyon doların üzerinde fonunu çalındığı kripto para hack’lerinin sonuncusu oldu. Blockchain güvenlik şirketi CertiK‘in hazırladığı rapora göre, çeyrekte toplam 212 hack saldırısı kaydedildi ve Web3 protokollerinden 313.56 milyon dolar değerinde fon çalındı. CertiK’e göre bir önceki yılın ikinci çeyreğine kıyasla kripto paraları hedef alan hack saldırısı yüzde 58 düştü.