Altcoin Resupply protokolü, güvenlik analistlerinin 26 Haziran’daki bulgularına göre yaklaşık 9.5 milyon dolar kayıpla sonuçlanan bir fiyat manipülasyonu saldırısına uğradı. Saldırgan, Convex Finance’te stake edilen Curve USD’nin sarılmış türü cvcrvUSD’nin pay fiyatını bağışlar yoluyla suni biçimde şişirdi. Resupply’ın CurveLend: crvUSD/wstUSR sözleşmesi bu şişirilmiş fiyatı teminat oranı olarak kabul edince kur hesaplaması bozuldu. Ardından saldırgan sadece bir wei’lik cvcrvUSD teminatla 10 milyon adet reUSD borç çekti ve elde ettiği reUSD’leri dış piyasalarda başka varlıklara çevirdi. Resupply ekibi etkilenen sözleşmeyi duraklattığını açıkladı.
Açık Noktayla Fiyat Manipüle Edildi
PeckShield’in saldırıya ilişkin olarak yayınladığı rapora göre saldırgan önce cvcrvUSD kasasına bağış göndererek altcoin‘in pay fiyatını yükseltti. Pay başına değer artınca protokolün borç verme formülü beklenmedik şekilde lehine döndü. Böylece teminatın gerçek piyasa değerinden kopan sözleşme uçurum oranlı krediye kapı araladı.
Yalnızca bir wei’lik cvcrvUSD normal şartlarda değersize yakın kabul edilirken, sözleşme o anki yapay katsayıyla bunu milyonlarca dolarlık teminat gibi kabul etti. Analistler, bu senaryonun likidite havuzlarına dayalı teminat modellerinde fiyat akışının güvenilir kaynaklarla sınanmadığı takdirde benzer açıklar doğurabileceğini vurguladı.
Sözleşmenin çökmesine neden olan temel etken tek bir oracle’a bağlı fiyat kabulüydü. Her ne kadar Resupply “lend” modülü üzerinden likiditeyi büyütmeyi hedeflese de fiyata ilişkin kontrol katmanı yetersiz kaldı. Güvenlik uzmanları oracle çeşitliliği ve üst sınır kontrolleri içeren savunmaların benzer saldırıları önleyebileceğine dikkat çekti.
Saldırının Etkileri Sürüyor
Saldırı sonrasında 10 milyon adet reUSD coin’in protokolden çıkması Resupply piyasasında kısa süreli dalgalanmaya yol açtı. Proje ekibi etkilenen sözleşmeleri durdurduğunu ve zarar gören kullanıcılara ilişkin zarar tazmin planının yakında açıklayacağını duyurdu. cvcrvUSD fiyatı bağış sonrasında eski düzeyine geri çekildi ancak oluşan boşluk borç – teminat dengesini altüst ettiği için kredi sepetlerinde kalıcı kayıplar oluştu.
PeckShield, olay sırasında saldırganın reUSD’yi çeşitli merkeziyetsiz borsalarda hızlı takaslarla dağıttığını, böylece takip zincirini karmaşıklaştırdığını bildirdi. Analistler, reUSD ihracının sınırlı havuza dayanması nedeniyle geri alımın zor olacağını, fakat zararın azaltılması için şimdiden Blockchain içi dondurma senaryolarının masada olduğunu ifade etti.
