Kripto, DeFi Saldırıları Nisan’da Artıyor – Yearn Sözleşme Açığı, MEV Bot Sızıntısı, Euler ve Sushi Geri Ödeme Güncellemeleri

PeckShield, Perşembe sabahı, denetimsiz para piyasası protokolü Aave ve DeFi getiri çiftçiliği platformu Yearn Finance’in bir saldırı sonucunda etkilendiğini bildirdi. Blokzincir güvenlik ekibi, hatalı yapılandırılmış bir yUSDT’nin soruna yol açtığını ve kötü niyetlilerin 10.000 USDT’den büyük miktarda yUSDT oluşturabildiğini öne sürdü.

Yearn Finance, son DeFi hack olayına dahil oldu

PeckShield tarafından paylaşılan ilk değerlendirme, ‘hatalı yapılandırılmış’ açığı sonsuz mint için kullanan birey/ekibin Dai (DAI), Tether (USDT), USD Coin (USDC), Binance USD (BUSD) ve Tru USD (TUSD) tokenlerinden toplam 11 milyon dolar değerinde nakit çektiğini gösterdi. Aave entegrasyon lideri Marc Zeller’dan bir tweet güncellemesi, olayın sadece 22 Aralık’tan beri dondurulmuş protokolün 1. sürümünü etkilediğini doğruladı. Yearn Finance ekibi de ayrı bir gönderide kullanıcıları olaydan haberdar etti.

iearn ile ilgili bir sorunu inceliyoruz, bu Vaults v1 ve v2 öncesi eski bir sözleşme. Bu problem yalnızca iearn’e özgü gibi görünüyor ve mevcut Yearn sözleşmelerini ya da protokollerini etkilemiyor. iearn, YFI’den önceki değiştirilemez bir sözleşme ve 2020’de kullanımdan kaldırıldı. Yükseltilebilir stratejileri olan Vaults v1 de 2021’de kullanımdan kaldırıldı. Etkilendiğine dair bir işaret yok. Mevcut v2 Vaults sürümü de etkilenmemiş durumda.

Özellikle, flash loan saldırısı beklenmedik bir sonuca yol açtı – Aave kullanıcısının USDT’sinin geri ödenmesi, zincir üzerindeki kayıtlar gösteriyor. Otter Sec ve Aave ile ilişkili diğer ekipler gibi çeşitli güvenlik kuruluşları saldırıyı çözmek için katkıda bulundu. DeFi izleme platformu Nansen belirtti ki saldırgan ganimeti üç adrese gönderdi. Zincir üzerindeki veriler, saldırganın çalınan tokenlerin önemli bir kısmını temsil eden 1000 ETH’yi Tornado Cash’e yatırdığını, muhtemelen izlerini gizlemek için yaptığını gösteriyor. İkinci bir cüzdan 4,7 milyon DAI ve 2,5 milyon USDC stablecoin aldı. Yearn Finance kredi platformundaki bu saldırı, bu yıl içinde merkeziyetsiz finans (DeFi) alanında bildirilen benzer bir dizi olayı takip ediyor.

Hackerlar ve dolandırıcılar, Q1’de yatırımcıları 452 milyon dolar ile soydular, %29 geri kazanım oranı

Blokzincir veri sağlayıcısı Chainalysis daha önce, DeFi alanındaki hacklerin 2022 boyunca kripto sektöründeki 3,8 milyar dolar kaybın %82’sini oluşturduğunu raporlamıştı. Aynı konuda yakın bir güncellemede, antivirüs ve uygulama sağlayıcısı De.Fi, yeni kapanan çeyrekte siber suçluların 452 milyon dolar yağmaladığını gözlemledi. Bu büyük rakam, geçen yıl aynı dönemdeki 1,3 milyar dolar kaybın önemli bir düşüşünü temsil ediyor. Son rapor ayrıca Q1 kayıplarının neredeyse yarısının Mart’ın ilk üç haftasında gerçekleştiğini ve 13 Mart’ta Euler Finance üzerindeki flash loan saldırısının çeyreğin en yüksek kaybı olan 197 milyon doları oluşturduğunu vurguladı.
Blokzincir tabanlı platformlar BonqDAO ve AllianceBlock, Şubat ayının başında bir akıllı sözleşme hacki yaşadı ve 120 milyon dolar kaybetti. Bu arada, CoinDeal yatırımcılarının iddia edilen 45 milyon dolarlık dolandırıcılığı, Monkey Drainer’ın 16,5 milyon dolarlık kimlik avı saldırısı ve Platypus Finance üzerindeki 8,5 milyon dolarlık flash loan saldırısı çeyreğin ilk beş önde gelen saldırı listesine eklendi.

İhlaller, FOMO’lu yeni başlayanları hedef alıyor

Yaygınlık açısından, akıllı sözleşme exploitleri en yaygın saldırı türü olarak 17 olaya neden oldu, ardından sekiz adet rug pull bildirildi. Flash loan exploitleri ise yaygın olmaya devam etti ve bu dönemde 200 milyon dolar kayba yol açtı. De.Fi ayrıca, saldırı vektörleri açısından tokenların kötü niyetli aktörler için tercih edilen seçenek olduğunu, çünkü başlatmanın kolay olduğunu ve fırsatları kaçırma korkusu yaşayan yeni başlayanların savunmasızlığından yararlandığını tahmin etti.
Borç verme ve alma, sadece beş olaya neden olmasına rağmen net kayıpları 336 milyon dolar olan birincil hedefti. Zincirler arasında en büyük mağdur BNB oldu ve 18 saldırının hedefiydi. Geri kazanımlarda, çalınan fonların 130 milyon doları mağdurlara iade edildi, ancak bu yine de geçen yıl aynı dönemdeki %40’lık geri kazanım oranının bir düşüşüydü (1,29 milyar dolar).

SafeMoon hata kaynaklı exploit

Tek bir izole olayda, SafeMoon platformunun 29 Mart’ta yakın zamanda gönderilen bir yükseltmede bulunan halka açık yakma işlevi aracılığıyla ele geçirildiği iddia edildi. Sözde saldırgan, bu hata kaynaklı açıklıktan yararlanarak, ele geçirilen SFM WBNB likidite havuzundan 27 000 BNB kadar çaldı. Saldırgan bir mesaj bıraktı, \”Hey rahat olun, yanlışlıkla size karşı bir saldırıyı önceden gördük, fonu iade etmek istiyoruz, güvenli bir iletişim kanalı kuralım, konuşalım.\” SafeMoon geçen hafta bir tweet ile ticaretin platformunda yeniden başladığını duyurdu.

5 Nisan güncellemesi ayrıca bazı tokenomik iyileştirmeleri özetledi ve yükseltilmiş bir SWaP arayüzünün dağıtıldığını iletti.

\”LP fonlarının geri kazanımı üzerinde çalışmaya devam ediyoruz […] Büyük ilerleme kaydettik ve tüm kullanıcılarımız için işlerin normale dönmesi için yoğun bir şekilde çalışmaya devam ediyoruz,\” SafeMoon bu hafta en son iletişimide söyledi.

Nisan ayında DeFi güvenlik ihlalleri

Bu ayın başında, çok zincirli köprü Allbridge 2 Nisan’da bir saldırıya maruz kaldı. Saldırgan, havuzun fiyatını yükseltmek ve fonları çalmak için likidite sağlama ve takas tekniklerini kullandı. Bu, Allbridge’in BNB Chain havuzlarının takas fiyatını hem likidite sağlayıcı hem de takas yapan olarak manipüle edebildikleri için mümkün oldu.

Çok zincirli protokol Allbridge exploit edildi

Akıllı sözleşme denetçisi CertiK, çok zincirli protokolün 549.874 dolar kaybettiğini raporladı. Öte yandan, blokzincir güvenlik firması PeckShield toplam 573.000 doların exploit edildiğini tahmin etti – 282.889 dolar değerinde BUSD ve 290.868 dolar USDT. O sırada Allbridge, ortakları ve topluluğu ile birlikte saldırganı sosyal ağlarda izlemek ve sorumlu tutmak için çalıştığını belirtti. Protokol, saldırganın beyaz şapka olarak ortaya çıkması durumunda bir ödül ve yasal bağışıklık teklif etti – çalınan fonları geri getirmesini teşvik etmek için.

1.500 BNB iade edildi

Görünüşe göre saldırgan bu seçeneği kullandı ve 1.500 BNB (465.000 $) iade etti, bu miktar etkilenen kişilerin ödemesine yardımcı olmak için BUSD’ye dönüştürüldü, kalan çalınan nakit ise beyaz şapka ödülü olarak bırakıldı. Allbridge ekibi ayrıca ikinci bir saldırganın aynı tekniği kullanarak fonları boşalttığını, ancak henüz iletişime geçip uzlaşma tartışması yapmadığını belirtti – Allbridge, bu iddia edilen saldırganın 0,97 BNB (302,5 $) bakiyeli bir cüzdan adresini paylaştı. Salı günü Allbridge paylaştı ki 9 Nisan itibarıyla yapılan başvurular için ilk geri ödeme turunu tamamladığını ve bekleyen sorunları olanların exploit tazminat sürecini takip etmelerini istedi.

SushiSwap exploitinin ardından

Farklı bir olayda, blokzincir güvenlik ve istihbarat firması PeckShield, Pazar sabahı SushiSwap’in exploit edildiğini raporladı; Twitter kullanıcısı oxSifu adlı bir kişi yaklaşık 3,3 milyon dolar kaybetti. Güvenlik firması ve SushiSwap Baş Şefi Jared Grey, etkilenenlerden tüm zincirlerde yetkilendirmeyi iptal etmelerini istedi. Ayrıca saldırı, son dört gün içinde DEX’i kullanan kişileri etkiledi gibi görünüyor. Exploit, SushiSwap’in ticaret yönlendirmesini kolaylaştıran ‘RouterProcessor2’ sözleşmesini etkiledi. PeckShield’e göre, hata ‘approve’ mekanizmasıyla ilgiliydi.

‘Approve’ ile ilgili hata bazı SushiSwap kullanıcılarını eksik bıraktı

Bu hatalı sözleşmeyi onaylayan kullanıcılar, farkında olmadan saldırganın kullanıcı tokenlerini sahibinin onayı olmadan çıkarmasına – yani ‘yoink’ etmesine – izin verdi. The Block Research analisti Brad Kay’e göre, ilk saldırgan, muhtemelen bir beyaz şapka hacker, ‘yoink’ fonksiyonunu kullanarak SushiSwap yönlendirici sözleşmesini 100 ETH için exploit etti, ardından ikinci bir kişi aynı sözleşmeden yaklaşık 1.800 ETH çaldı, bu sefer \”notyoink\” fonksiyonunu kullandı.

Kurtarma çabaları

Grey, bir güncellemede oxSifu’nun kayıp varlıklarından 300 ETH’den fazlasının geri alındığını ve 700 ETH’den fazla bir miktarın daha geri kazanılmasının planlandığını doğruladı. SushiSwap CTO’su Matthew Lilley ayrıca birkaç kurtarma çabasının devam ettiğini güncelledi ve kullanıcılara onaylarını iki kez kontrol etmelerini, olası kötü niyetli adresleri taramalarını ve tokenleri için izin verilenleri iptal etmelerini önerdi. Yine de, RouterProcessor2’ye maruz kalmanın ön uçtan kapatıldığını ve likidite sağlayıcı ve takas aktivitelerinin güvenli olduğunu belirterek Sushi Protokolünün kullanılabilir olduğunu temin etti.

Mağdurlar tam olarak tazmin edildi

Sushi lideri Discord’da söyledi ki ekip, protokolün Merkle Distributor sözleşmesindeki hak kazanılmış tokenler için bir talep web sitesi başlatmayı planlıyor. Site, 23 Nisan’da taleplerin son tarihine kadar aktif olacak ve ardından talep edilmeyen SUSHI tokenleri SushiSwap hazinesine gönderilecek. Çarşamba günü paylaşılan sonraki bir güncellemede, Ethereum tabanlı merkeziyetsiz borsa belirtti ki etkilenen talep sahiplerine geri ödeme yapmayı planlıyor.
“Fonlarınız beyaz şapka sözleşmesinde bulunuyorsa, bu, güvenlik uzmanlarının fonlarınızı topladığı, güvenli olduğu ve yakında talep edilebilir olduğu anlamına gelir. Fonlarınız beyaz şapka sözleşmesinde bulunmuyorsa, bir e-posta göndermeli veya Discord’umuzda bir bilet açmalı ve kayıp fonların işlem kimliği(leri) ve blokzincir verilerini eklemelisiniz. Kara şapka fonları işlenmesi daha uzun sürecek, çünkü ekip talebi doğrulayan zincir üzeri verilerle meşruiyeti manuel olarak kontrol etmeli ve ardından uygun şekilde ödemelidir, SushiSwap tweet attı.

Ethereum MEV bot saldırısı

Başka bir olayda, 3 Nisan’da gerçekleşen bir Ethereum MEV bot exploitinden sonra kötü niyetli bir doğrulayıcı 25 milyon dolar kaçırdı. Birkaç Ethereum maksimize edilebilir değer (MEV) botu, arbitrajcıların ve tacirlerin kâr fırsatlarını optimize etmelerine yardımcı olurken, karmaşık bir saldırının kurbanı oldu ve bu saldırı sonucunda kötü niyetli doğrulayıcı 25 milyon dolar kaybetti.

Olanlar şöyle

CertiK, sekiz MEV işleminin hedef alındığını açıkladı; çünkü bu işlemler sandviç ticaretlerini yürütüyordu – bu, token almaya çalışan tacirleri tespit edip ticaretin ortasına girerek kâr elde etmeyi içerir. Tüm bu olaylar tek bir Ethereum bloğu içinde gerçekleşti – 6964664, CertiK, sandviç ticaretlerinin az sayıda tokenle başladığını ve milyonlarca token takas edildiğinde, kötü niyetli doğrulayıcının ters işlemleri değiştirdiğini belirtti.

Toplam 25,39 milyon dolar yanlış ellere geçti; güvenlik firması tarafından yayınlanan dağılımda – 64,9 WBTC, 7.460,8 WETH, 5.297.649,9 USDC, 3.027.396 USDT ve 1.698.384 DAI yer alıyor. Yazım anına kadar fonların büyük bir kısmı üç cüzdanda tutuluyor. CertiK, bunu şimdiye kadar görülmüş en büyük MEV bot exploitlerinden biri olarak nitelendirdi; benzer büyük bir hack son olarak Eylül 2022’de gerçekleşmişti ve bir bot açığı nedeniyle 800 ETH MEV arbitraj kazancı çalınmıştı.

Aynı zamanda, blokzincir denetçisi OtterSec, saldırganın iki haftadan fazla önce cüzdanını önceden doldurmuş olması nedeniyle bunun planlı bir saldırı olduğunu belirtti. CertiK, botların doğrulayıcı düğümünü kötü niyetli olarak tanımlamada başarısız olduğunu ve exploit edilen zayıflığın doğrulayıcılar arasındaki güçlerin merkezileşmesine bağlandığını saptadı.

Flashbots bir özellik düzeltmesi uyguladı

Flashbots, Ethereum’in ana MEV programı MEV-Boost’un yaratıcısı, o zamandan beri benzer sorunların tekrarlanmaması için adımlar attı. Ekip, blok oluşturucular ile doğrulayıcılar arasında güvenilir aracı görevi gören relayer’ların bir bloğu imzalayıp Beacon Chain’e yayınlamasını, ardından önericiye iletilmesini gerektiren yeni bir özellik uyguladı. Bu adım, daha önce eksik olan ve artık önericinin relay’den aldığı içerikten sapma ihtimalini azaltmaya yardımcı olabilecek bir adımdı. Ayrıca CertiK, CoinTelegraph’a diğer MEV arayıcılarının sandviç ticareti dahil olmak üzere atomik olmayan stratejilere girmekten çekinebileceğini, çünkü bu stratejilerin ana hedef gibi göründüğünü söyledi.

Tether, bir MEV exploitine bağlı olarak kara listeye aldı

Bu hafta, stabilcoin sağlayıcısı Tether, 10 Nisan tarihli tweetinde, son MEV exploitine bağlı ‘Sandwich the Ripper’ adresini engellediğini yazdı. Tether adresi 3 milyon dolar değerinde USDT tutuyordu ve artık taşınamıyor. Saldırgan, 14,3 milyon dolar değerinde Wrapped Ethereum (WETH) ve 3,6 milyon doların üzerinde diğer varlıklar dahil olmak üzere daha büyük bir miktara sahip.
Tether, iyi niyetle ve makul gerekçelerle hareket ediyor gibi göründü. Yine de, bu karar, hareketin kripto alanında “kötü bir emsal” oluşturduğuna inan bazı gruplar tarafından eleştirildi. Tether’in blok listeleme eylemleri, işlemlere yönelik sansür olarak yorumlanabilir ve stabilcoin sağlayıcısının merkezi bir otorite olduğunu ima eder. Eleştirmenler, güç istismarına ve DeFi nişine olan etkilerine dair endişelere işaret etti.

Euler, çalınan tüm fonların iadesi için müzakere ettikten sonra geri ödemelere başladı

Euler Finance bu hafta, geçen ay çalınan 197 milyon dolar değerindeki kripto için yapılan müzakerelerin ardından son geri ödeme dilimini aldığını söyledi. Protokol, geri kazanılabilir tüm fonların geri getirildiğini ve hack hakkında bilgi verenler için 1 milyon dolar ödül programının etkili bir şekilde sona erdiğini belirtti. Blokzincir analiz firması Arkham Intelligence, izin gerektirmeyen kredi protokolünün Pazartesi günü 19 milyon dolar değerinde 10.580 ETH ve üç işlemde bölünmüş 12 milyon dolar DAI aldığını doğruladı.

21 Mart olayının ardından, Euler çalınan miktarın %10’una eşdeğer 19,7 milyon dolar ödül teklif etti ve hırsızı sorumlu tutmayı hedefledi. Ayrıca, çalınan fonların kalan %90’ı iade edilmezse, saldırgan hakkında bilgi veren herkese 1 milyon dolar ödül verileceği konusunda uyardı. İlk olarak 1,8 milyon doları Tornado Cash üzerinden akıtan saldırgan, 18 Mart’ta para iade etmeye başladı – 1,8 milyon dolarla. Saldırgan para göndermeye devam etti ve en büyük geri ödeme, 24 Mart’ta 58.737 ETH’lik (102 milyon dolar) toplu bir tutar oldu.

Yazım anına kadar toplam 95.556 ETH ve 43 milyon DAI geri kazanıldı, ancak 1.100 ETH’lik bir tutar, yaptırım uygulanan coin mixer’a gönderildiği için geri alınamaz olarak değerlendirildi. Tüm bunların ortasında, hacker iki hafta önce zincir üzeri mesajlarla özür diledi ve kalan tüm fonları teslim edeceğini vaat etti. Pazartesi günü geri gönderilen tokenler, hackten geri kazanılan toplam fonları 177 milyon doların üzerine çıkardı. Bu, Euler ekibi tarafından sunulan %10’luk ödül dikkate alındığında, beklenen geri kazanılabilir fonların %90’ını oluşturuyor.

Ethereum tabanlı denetimsiz kredi protokolü daha sonra, kullanıcıların geri kazanılan fonları talep etmelerine izin verdiğini ve tüm kaosları içeren flash loan exploitinin sona erdiğini belirtti. Hackten kaynaklanan kayıpları için 2,4 milyon dolar ödeyen DeFi sigortacısı Nexus Mutual, Euler’dan geri ödeme talep etti. Nexus, kayıpları karşılayarak Euler’ı desteklediği iddia edildi; ancak fonların iadesiyle kullanıcıların teknik olarak varlıklarını kaybetmediği ortaya çıktı.

Diğer bildirilen güvenlik ihlali olayları

MetaPoint, bir metaverse projesi, bu hafta bir saldırgan tarafından 2.515 BNB’nin çalındığını bildirdi. Saldırgan fonları Tornado Cash’e gönderdi, PeckShield söyledi. Metaverse projesi Telegram’da olayı doğruladı ve tüm operasyonları durdurduğunu ekledi.

Terraport Finance, lansmandan sadece iki hafta sonra bir güvenlik ihlalinin kurbanı olmuş gibi görünüyor. 10 Nisan’da ortaya çıkan raporlar, protokolün likidite cüzdanının 2 milyonluk bir hack ile karşı karşıya olduğunu detaylandırdı. Terraport, paylaşılan güncellemede olayı fark ettiğini ve platformu güvence altına aldıktan sonra ihraççı üzerinde araştırma yapmayı planladığını söyledi.

DeFi dışındaki Güney Kore kripto borsası GDAC bu hafta söyledi ki neredeyse 14 milyon dolar değerinde hacklendi. Borsa, gerekli iyileştirmeleri yapmak için geçici olarak mevduat ve çekim işlemlerini durdurdu, CEO Han Seunghwan, kayıp fonların toplam custodian varlıklarının %20’den biraz fazla olduğunu doğruladı. Saldırgan, 9 Nisan (Kore Standart Saati) sabahı borsanın bazı sıcak cüzdanlarının kontrolünü ele geçirdi ve fonları kontrol ettikleri cüzdana taşıdı. GDAC yaklaşık 61 BTC, 350,5 ETH, 220.000 USDT ve 10 milyon WEMIX oyun para birimini kaybetti.

Withdrawal services remain unavailable: Seunghwan said that the exchange is dedicated to investigating the same and hasn’t formulated a plan to allow the resumption of currently disabled services. The GDAC attack marks this year’s first major centralized crypto exchange hack coming just over a dozen months since Crypto.com was hacked for over $15 million last January.

HTX ve Gala Games, pGALA olayından etkilenen tarafları tazmin etmek için 50 milyon dolar ayırdı

Gala Games ile kripto borsası HTX’in, ilkinin Web3 ekosistemini güçlendirmek için yakın bir iş birliği sonrasında, ikili, geçen Kasım’da platformda bir yardımcı token dolandırıcılığı nedeniyle kayıp yaşayan GALA token sahiplerine 50 milyon dolar değerinde kripto ve yazılım lisansları dağıtma planını duyurdu.

İkisi, dağıtılacak 50 milyon dolar değerindeki tazminatı eşit olarak bölecek – HTX’in payı 25 milyon dolar olacak ve bu nakit ve kullanıcı faydalarını (15 milyon USDT ve 10 milyon hisse) kapsayacak. Diğer yandan, Gala Games 25 milyon dolar değerinde node lisansları verecek ve program bu hafta başlayacak.

Söz konusu olay, pNetwork tarafından BNB Chain üzerinde ihraç edilen GALA’nın bir sarmal tokenı olan pGALA’nın 1 milyar dolar değerinde mint edilmesiyle gerçekleşti. Tokenlar PancakeSwap’ta satıldığında, saldırganlar likidite havuzundan 4,5 milyon dolar çektiler ve GALA’nın token fiyatına büyük zarar verdiler.

pNetwork’e karşı bir dava geliyor

GameFi projesi geçen ay, saldırıdaki rolü nedeniyle pNetwork’e karşı yasal işlem başlattı. Dava, olayın Gala Games’e 25 milyon dolar zarar verdiğini iddia etti ve ihlalle ilgili doğrudan masrafları, ek tazminatları, cezai tazminatları ve diğer hakları karşılamak için 27,7 milyon dolar talep etti. Ayrıca platform, diğer etkilenen tarafları tazminat talebine katılmak için hukuk ekibiyle iletişime geçmeye davet etti. HTX, son duyurusunda bu çabaları desteklediğini belirtti. Olumlu bir karar durumunda, yasal masraflar düşüldükten sonra verilen tüm tazminatlar GALA tokenlerine dönüştürülüp ardından yakılacak.