Merkezi olmayan finans protokolleri (DeFi) her ne kadar hızlı işlem ve düşük komisyon ücretleriyle dikkat çekse bile sektörde güvenlik sorunu bir türlü çözülemiyor. Akıllı sözleşmelerde yaşanan hatalar ya da açıklar nedeniyle hack saldırıları son zamanlarda ön plana çıkıyor. DeFi protokolü Platypus, 12 Ekim’de yaşanan üç saldırı ile birlikte toplamda 2 milyon doların üzerinde varlık kaybetti ve protokol hizmetlerini durdurmak zorunda kaldı.
Bir Günde Üç Saldırı Gerçekleşti
Blockchain güvenlik analiz platformu CertiK’in paylaştığına göre Platypus, üç farklı saldırıya uğradı ve bu saldırılarda toplamda 2,23 milyon dolar değerin kripto varlık çalındı. Saldırgan ilk hamlesinde 1,2 milyon dolar değerinde kripto varlığı ele geçirdi. Saatler sonra protokole ikinci bir saldırı gerçekleşti ve bu saldırı 575.000 dolar değerinde oldu. Dakikalar sonra yaşanan son saldırıda ise hacker 450.000 dolar değerinde varlığı ele geçirmeyi başardı.
Platypus protokolü bilinen birçok DeFi protokolünden farklı bir hizmet anlayışına sahip. Alıcı ve satıcıların işlem gerçekleştirdiği bir protokolden çok likidite havuzları kullanılarak platformda otomatik alım satım işlemleri (AMM) gerçekleştiriliyor. Platypus, 2021 yılında Three Arrows Capital tarafından yönetilen bir finansman turunda 3,3 milyon dolar fon toplamıştı.
Bu Saldırı Yöntemi Protokolün Sonunu Getirdi
Açıklamalara göre DeFi platformu “flash loan exploit” yani hızlı kredi istismarı adı verilen bir hack yöntemi ile saldırıya uğradı. Bu saldırı yönteminde saldırgan işlem için gerekli teminatı sağlamadan önce hızlı bir işlem sayesinde kripto varlık kredisi alıyor. Bu kredinin çok çabuk alınması ise protokolde bulunan bir güvenlik açığından kaynaklanıyor.
CertiK tarafından yapılan bir açıklamaya göre bu yöntem ile Platypus’a 2023 yılında üç saldırı gerçekleşti. 16 Şubat tarihinde protokol benzer bir yöntem yüzünden 8.5 milyon dolar değerinde kayba uğradı ve bu durum protokol stablecoin’İ Platypus USD’de ciddi bir kaybı kaybı yaratarak token’ın 1 dolardan 0,48 dolara düşmesine neden oldu. Temmuz ayında gerçekleşen saldırıda ise protokol 157.000 dolarlık kayıp yaşadı.
Şubat ayında yaşanan saldırının ardından protokol ekibi Mart ayında mağdurlar için bir tazminat portalı oluşturdu. Portal, kullanıcıların platformlardan ne kadar tazminat alabileceklerini doğrulamak ve fonlar dağıtılmadan önce müşteriler ile iletişime geçmek için kullanıldı.
