Bir bilgisayar korsanı, DeFi borç verme protokolü uygulamaları Agave ve Hundred Finance‘e saldırdıktan sonra 11 milyon değerinde kripto para birimi çaldı.
Hacker, DeFi Saldırısında 11 Milyon Dolar Çaldı
Hacker, DeFi borç verme protokolü uygulamaları Agave ve Hundred Finance’e “re-entrancy” saldırısı kullandıktan sonra Wrapped ETH, Wrapped BTC, Chainlink, USDC, Gnosis ve Wrapped XDAI‘de yaklaşık 11 milyon dolar çaldı.
Saldırı, bilgisayar korsanlarının kredi sözleşmesi platformundan 3 milyon doların üzerinde Dai ve Ethereum çaldığı Deus Finance istismarının haberini aldıktan 24 saat sonra geldi.
CoinMarketCap’in verilerine göre, Agave’nin tokeni AGVE, saldırının ardından yüzde 20’nin üzerinde düşüş yaşadı. Hundred Finances tokeni HND ise, saldırının açıklanmasından hemen sonra yüzde 10’a varan bir düşüş kaydetti.
Agave, saldırıyı 15 Salı günü saat 13:30 UTC’de Twitter hesabından bildirdi. Agave Twitter’dan yaptığı paylaşımda şu ifadelere yer verdi;
Agave şu anda Agave finans protokolündeki bir istismarı araştırıyor. Daha fazlasını öğrenir öğrenmez sizi bilgilendireceğiz. Sorunu nasıl çözeceğimizi anlayana kadar platformdaki kontratları durdurduk.
Hundred Finans ekibi ayrıca Gnosis zincirinde istismar edildiğini tweetledi ve soruşturmaları sürdürürken piyasalarını duraklattı.
Zincirleme analize göre, saldırganla ilişkili adres, çalınan token’ları aklamak amacıyla 5.5 milyon doların üzerinde 2.100’den fazla ETH harcadı.
Solidity geliştiricisi ve bir NFT likidite protokolü uygulamasının yaratıcısı Shegen, istismarda 225.000 dolar kaybettiğini ve araştırmalarının, saldırının Gnosis Chain’de saldırganın kripto para ödünç almaya devam etmesine izin veren bir wETH sözleşme işlevinden yararlanarak gerçekleştiğini ortaya çıkardığını tweetledi.
Saldırgan bu açıktan yararlandı ve fonlar protokollerden çekilene kadar yayınladıkları teminata karşı sürekli olarak borç aldı.
Shegen, yaptığı açıklamalarda Agave’deki akıllı sözleşmenin temelde 18,4 milyar ABD Doları tutarında güvence sağlayan Aave ile aynı olmasına rağmen, her güvenlik araştırmacısının bunu denetlediğini ve bu nedenle sözleşmenin güvenli olduğunu varsaymanın mantıklı olmadığını söyledi.
Aave ve Agave Arasındaki Fark
Blockchain güvenlik araştırmacısı Mudit Gupta, Aave ve Agave arasındaki fark, “Aave, benzer saldırılardan kaçınmak için ana ağda token’ları listelemeden önce aktif olarak yeniden girişi kontrol ediyor” dedi.
Shegen, saldırıyı engelleyemediği için Agave geliştiricilerini suçlamadığını belirtti ve şöyle söyledi;
Agave güvenli olmayan bir şekilde kullanıldı. Belki de geliştirici, içinde geri arama bulunan token’ların platformda kullanılmasına izin vermemeli veya daha fazla yeniden giriş koruması eklemeliydi.
Örneğin, Eğri bugün saldırıya uğramadı, çünkü fazladan yeniden giriş korumaları var, ancak Luigy ve Agave takımını gerçekten suçlamıyorum çünkü bunun olması pek olası değil ve birçok insanı geride bıraktı.