Gün geçmiyor ki yeni bir güvenlik zafiyeti kripto para yatırımcılarının milyon dolarlar kaybetmesine neden olmasın. Bugün birçok akıllı sözleşme saldırıya uğradı. Binance borsasında da işlem gören popüler bir altcoinin fiyatı önemli ölçüde düştü. Peki saldırı nasıl oldu. Şimdi ne olacak?
Kripto Paralar Sıcak Gelişme
Vyper’ın belirli versiyonlarıyla kodlanan akıllı sözleşmelerden 7 tanesi bugün hacklendi. Toplamda 28 Milyon dolarlık kayıp yaşandı. Curve Finance üzerindeki havuzlar saldırıya uğradı. Kritik güvenlik açığı reentrancy olarak biliniyor. Bu bir sözleşmenin harici çağrısı (dış istek) kesintiye uğradığında ve tamamlanmadan önce geri çağrıldığında ortaya çıkan ve potansiyel olarak saldırganlar tarafından istismar edilebilen kritik bir güvenlik açığıdır.
Bu güvenlik açığı, çeşitli ilişkili havuzlarda 26 milyon doların üzerinde önemli miktarda para çıkışına yol açtı. Beosin’deki güvenlik analistlerine göre, saldırgan Curve’ün birden fazla projeden oluşan havuzlarını hedef aldı.
JPEGd’nin Curve üzerindeki pETH-ETH havuzu 11,4 milyon dolarlık bir çıkış gördü. Onu yakından takip eden Metronome’un sETH-ETH havuzunda ise 1,6 milyon dolarlık bir hareket görüldü. Ancak, Alchemix’in alETH-ETH havuzu, 13,6 milyon dolarlık önemli bir işlemle en önemli faaliyete tanık oldu.
Kripto Para Hack
Wintermute araştırma müdürü Igor Igamberdiev tarafından açıklandığı üzere, bu havuzların kodunu yazmak için kullanılan akıllı sözleşme programlama dili olan Vyper’ın belirli eski derleyici sürümleriyle ilişkiliydi. Eski sürümle kodlanan akıllı sözleşmeleri tespit eden saldırganlar flashloan ile bu havuzları boşaltmayı başardı.
Vyper için 0.2.15, 0.2.16 ve 0.3.0 sürümlerinin hatalı reentrancy kilitlerine karşı savunmasız olduğunu ve soruşturmaların devam ettiği de açıklandı. İlk tepkiler büyük bir güvenlik ihlali endişesiyle ortaya çıkarken on-chain veriler MEV botlarının bu işlemlerin bazılarını önceden gerçekleştirmiş olabileceğini gösteriyor. Bu durum, beyaz şapkalı bilgisayar korsanlarının da işin içinde olabileceğine dair spekülasyonlara yol açtı.
Curve katılımcısı Banteg’e göre CRV havuzu whitehat (beyaz şapkalı hackerlar sistem güvenliği için şirketlere yardımcı olur, sistemi saldırganlardan korurlar) operasyonundan dakikalar önce boşaltıldı.
