Blockchain alanında birçok yenilik yaşanırken hack saldırıları her geçen gün gündeme gelmeye devam ediyor. Blockchain ağları arası borç verme protokolü Radiant Capital, yeni oluşturulan USDC Coin hizmetlerinden birini etkileyen 4,5 milyon dolarlık bir hack saldırısı raporu aldıktan sonra popüler Layer-2 ağı Arbitrum üzerindeki borç verme ve borç alma işlemlerini sonlandırdığını açıkladı.
Radiant’ı Sarsan Hack Saldırısı
Radiant, 3 Ocak’ta sosyal medya platformu X üzerinden yayınladığı ve daha sonra Radiant geliştiricileri ve daha geniş siber güvenlik topluluğu tarafından doğrulandığını eklediği bir gönderide konuya ilişkin şu ifadelere yer verdi:
“Bugün, Arbitrum’da yeni oluşturulan USDC hizmeti ile ilgili bir sorun raporu aldık.”
Blockchain güvenlik firması Beosin, yaşanılan hack saldırısına yönelik saldırganın kod tabanında gerçekleşen bir yuvarlama sorununa ilişkin yaşanılan olayda kümülatif bir hassasiyet hatasına yol açmasıyla flash kredi saldırısı olarak tanımladı. Şirket yetkilileri konuya ilişkin X üzerinden şu ifadelere yer verdi:
“Saldırganın tekrarlanan para yatırma ve çekme işlemleri yoluyla kar elde etmesine olanak sağladığı.”
Blockchain güvenlik şirketi PeckShield’in 2 Ocak’ta yayınladığı daha önceki bir gönderide de sorunun mevcut Compound/Aave kod tabanında gerçekleşen bilinen bir yuvarlama sorunundan kaynaklandığı belirtilmişti:
“Temel neden yeni değil; temelde bir borç verme piyasasında (popüler Compound/Aave’den fork’lanmış) yeni bir piyasa etkinleştirildiğinde bir zaman penceresinden yararlanıyor.”
Saldırının Ardından Neler Yaşandı?
Arbitrum blok gezgini Arbiscanner’ın verilerine göre hacker protokolden toplam 4,5 milyon dolarlık Ethereum çekmeyi başardı. Radiant o zamandan beri Arbitrum’da borç verme ve borçlanma hizmetlerini durdurdu ve yatırımcılara şu anda hiçbir ek fonun risk altında olmadığı konusunda güvence verdi. Detaylı bir rapor sözü veren ekip, soruşturma tamamlandıktan sonra normal operasyonlara geri dönme sözü de verdi:
“Bir hatırlatma olarak, Arbitrum’da piyasalar durdurulana kadar hiçbir işlem yapılamaz.”
Bu arada yaşanan olayın ardından X üzerinde kullanıcıların onayları iptal etmelerine yardımcı olduğunu iddia eden kimlik avı bağlantıları yayınlayan sahte Radiant Capital hesapları dolup taştı.
Radiant Capital, LayerZero teknolojisi kullanılarak inşa edilmiş çapraz zincir işlevselliğine sahip merkezi olmayan bir borçlanma ve borç verme protokolü olarak hizmet veriyor. Blockchain veri analiz platformu DefiLlama’ya göre protokolün şu anda kilitli toplam değeri yaklaşık 315 milyon dolar.
