Dijital Varlıklar

Kripto Saldırıları ve DeFi Sömürülmeleri Kayıpları, 2. Çeyrekte 1. Çeyrek Rakipleriyle Eşleşme Yolunda

mm
Securities.io maintains rigorous editorial standards and may receive compensation from reviewed links. We are not a registered investment adviser and this is not investment advice. Please view our affiliate disclosure.
Hacker

2023’ün ilk çeyreğinde, akıllı sözleşme güvenlik platformu CertiK tarafından derlenen verilere göre, kripto alanında kötü niyetli aktörler tarafından 320 milyon doların üzerinde bir kayıp yaşandı. Bu rakam, bir önceki çeyrek (Q4 2022) ve bir önceki yılın aynı dönemine göre önemli bir düşüşü temsil ediyor. Blokzincir güvenlik firması, bu azalışı sektörü sarsan üzücü olaylara bağladı.

Özellikle, stablecoin piyasalarındaki çalkantı ve bankacılık krizi dijital varlık alanına da uzandı. Bu ve diğer talihsiz olaylar, yatırımcıların fonlarını kenara çekmelerine ve potansiyel katılımcıların ve girişlerin ertelenmesine yol açtı. 2. çeyrek neredeyse yarısına gelinirken, daha fazla sömürü olayı bildirildi ve ilk çeyrekte bildirilen rakama eşitlenmeye doğru ilerliyor.

Nisan ayında hack, sömürü ve dolandırıcılıklarla 103 milyon dolar kaybedildi

Mart ayında, kripto dünyasında yaklaşık 211 milyon dolar çalındı; bu, Euler Finance üzerindeki 197 milyon dolarlık hack tarafından domine edildi. Geçen ay sömürülen miktar bunun biraz altında, yarısının biraz altında olup, blokzincir güvenlik firması Certified Kernel Tech (CertiK) bu kayıpları 103,7 milyon dolar olarak tahmin etti.

Nisan ve Mart ayı rakamları, yılın ilk dört ayında kötü niyetli aktörler tarafından çalınan toplam tutarı 429,7 milyon dolara çıkardı. Nisan ayında bir diğer büyük olay, Ethereum Maksimum Çıkarılabilir Değer (MEV) bot sandviç saldırısı oldu ve bu 25,4 milyon dolar kayba yol açtı. Bitrue borsasının da bir sıcak cüzdanından 23 milyon dolar değerinde Ether ve diğer para birimlerinin çekildiği bildirildi.

Flash kredi saldırıları

Merkezi olmayan finans toplayıcısı Yearn Finance, geçen ay flash kredi saldırılarında öncülük etti; yalnızca protokolün eski bir sürümünü kullanan kullanıcılar etkilendi. PeckShield, 13 Nisan’da bir hackerın bir hatayı hedef alarak aşırı büyük miktarda yUSDT – 1,3 katrilyon token – üretmeye çalıştığını, bu tokenlerin sadece 10.000 USDT karşılığında yaklaşık 11,6 milyon dolar değerinde olduğunu bildirdi. Sonrasında gerçekleşen bir dizi takasla saldırgan, 61.000 USDP, 1,5 milyon TUSD, 1,79 milyon BUSD, 1,2 milyon USDT, 2,58 milyon USDC ve 3 milyon DAI elde edebildi.

Çok zincirli kredi havuzu Hundred Finance, 15 Nisan’da Ethereum katman iki Optimism üzerinde WBTC flash kredisiyle ilgili bir güvenlik ihlali sonrası 7,4 milyon dolar kaybetti. Protokol, müzakerelerin sonuç vermediği düşünüldükten sonra hacker için 500.000 dolar ödül koydu. Hundred Finance, daha önce Mart 2022’de bir yeniden giriş saldırısıyla 6,5 milyon dolar kaybetmişti. Blokzincir güvenlik firması ayrıca, çıkış dolandırıcılıklarından kaybedilen toplam fonların Nisan ayında 9,4 milyon dolara yükseldiğini, bu artışın merkezi olmayan borsa Merlin tarafından duyurulduğunu gösterdi.

CertiK, Merlin saldırısında hain geliştiricilerin 1,8 milyon doları çaldığını ısrarla belirtiyor

zkSync merkezi olmayan borsası Merlin’in 1,82 milyon dolar kaybı, 25 Nisan’da MAGE tokenlerinin üç günlük halka açık satışı sırasında gerçekleşti; bu, CertiK tarafından yapılan bir denetimle bile olsa. Yatırımlara sunulan cazip getiri nedeniyle popüler olan DEX, saldırıyı onaylayarak tüm kullanıcılara cüzdan izinlerini devre dışı bırakmalarını tavsiye etti. CertiK ise bunu bir özel anahtar yönetim sorunu olarak nitelendirdi.

Olayı ele alan bir tartışma dizisinde, blokzincir güvenlik firması daha sonra Merlin denetim raporunda ‘Merkezsizleştirme Çabaları’ başlığı altında merkeziyet riski işaret ettiğini vurguladı. Ancak bazıları firmanın yaptığı işin kalitesini sorguluyor. Bu arada, fon kaybına neden olduğu iddia edilen kötü amaçlı kod, zkSync üzerinde inşa edilmiş bir merkezi olmayan borsa ve launchpad olan eZKalibur tarafından tespit edildi. eZKalibur, initialize fonksiyonunun bir tür arka kapı oluşturduğunu, sözleşme adresinden ‘feeTo adresine’ sınırsız miktarda token transferine izin verdiğini belirtti.

Bir tazminat planı hazırlanıyor

CertiK, 26 Nisan’da etkilenenler için bir tazminat planı araştırdığını, sorumlu kişileri fonların %80’ini iade etmeye ve geri kalanını beyaz şapka ödülü olarak tutmaya çağırdığını söyledi. Ayrıca, bir saldırı yerine Merlin’in hain geliştiricilerin kurbanı olduğunu, bu durumun varlığın likidite havuzunu bu kadar kolay çekebilmesini açıkladığını ekledi. Blokzincir güvenlik ekibi, faillerin Avrupa’da olduğuna inandıklarını ve doğrudan müzakereler bir çıkmaza girerse adalete teslim etmek için kolluk kuvvetleriyle çalıştıklarını belirtti.

Cuma günü durumla ilgili bir güncellemede, CertiK, tüm bunların Merlin geliştiricileri tarafından cüzdan ayrıcalıklarını suistimal ederek kullanıcıları dolandırmak amacıyla yapılan bir rug pull (sahte çekiliş) olduğunu ısrarla belirtti. Kalan Merlin ekibiyle iş birliği çabalarının, bazı temel üyelerin kimliklerini doğrulamayı reddetmesi nedeniyle zorluklarla karşılaştığını, bu durumun mağdurların doğrulanmasını ve nihai yardımını zorlaştırdığını ekledi. CertiK, şu ana kadar çalınan fonların 160.000 dolarını dondurdu ve geri kazanma umuduyla kalan miktarı yakından izliyor. ABD ve Birleşik Krallık’taki kolluk kuvvetleriyle bu çabalarda çalışıyor ve ayrıca mağdurlara yardımcı olmak ve çıkış dolandırıcılıklarıyla mücadele etmek için 2 milyon dolar bağışta bulundu.

Hackerlar, Polygon kredi protokolü 0VIX’ten 2 milyon dolar çalmak için fiyat oracle’ını manipüle etti

Nisan ayının sonunda bir fiyat oracle manipülasyonu saldırısı, vGHST tokenı üzerindeki bir sömürü sonrasında 0VIX kredi protokolünün 2 milyon dolardan fazla kaybetmesine neden oldu; vGHST, popüler Tamagotchi oyunundan ilham alan bir blokzincir oyun girişiminin stake edilmiş tokenıdır. Blokzincir güvenlik şirketi PeckShield, 0VIX Protokolü saldırısının arkasındaki hackerların, vGSHT kredi pozisyonları açmak için 6,12 milyon dolar değerinde stablecoin flash kredisi kullandığını ortaya koydu.

Saldırgan(lar) daha sonra protokolün fiyat oracle’ını ve vGSHT kredi havuzunu genişleterek manipüle etti – GHST fiyatında bir dalgalanma yarattılar, bu da vGHST kredi havuzunun temerrüde düşmesine yol açtı ve havuzları likidite edip teminatı alarak kaçmalarını sağladı. Protokolün çekirdek ekibi, Polygon POS ve zkEVM operasyonlarını (token kredi piyasalarını) durdurdu ve durumu yönetmek için çabalar başlattığını ekledi.

Sonraki bir güncellemede, 0VIX Protokol Derneği, zkEVM üzerindeki operasyonlara yeniden başladığını ve 0VIX Polygon zkEVM pazarının kullanıcılarına fonlarına sınırsız erişim sağladığını belirtti. Tüm kullanıcılardan pozisyonlarını ve sağlık faktörlerini doğrulamaları ve mevcut borçları ödemeleri istendi. Güncelleme ayrıca, 0VIX zkEVM üzerindeki duraklamanın sadece önleyici bir önlem olduğunu, sömürünün bunu etkilemediğini açıkladı. Dernek, devam eden soruşturmaların bütünlüğünü korumak için daha fazla detay vermedi, ancak güvenlik ortaklarıyla birlikte ele geçirilen fonların geri alınmasına kendini adadığını ekledi.

Level Finance’in ödül mekanizmasındaki bir hata, bir saldırganın 1 milyon LVL tokenı çekmesine izin verdi

Bu hafta, Level Finance, yerel LVL tokenının 1 milyon dolar değerinde bir hack’e maruz kaldı. BNB Chain yerel, custodian olmayan spot ve perpetual sözleşme borsası, 1 Mayıs’ta saldırganın LevelReferralControllerV2 referans sözleşmesini hedef aldığını, bu sözleşmenin tekrarlanan taleplere izin verdiğini ve 214’ten fazla LVL’yi 3.345 BNB’ye çevirdiğini doğruladı.

Blokzincir güvenlik şirketi PeckShield, hack’in aynı dönem içinde tekrarlanan referans taleplerine izin veren bir hatadan kaynaklandığını ve Level Finance’in bu hatanın, teşvik mekanizmasındaki son güncellemeden kaynaklandığını doğruladığını söyledi. Platform, saldırıyı durdurmak için referans programını geçici olarak durdurdu, ancak olay likidite havuzlarını veya bağlı DAO’ları etkilemedi.

Deus Finance, 6 milyon dolarlık bir hack sonrası sözleşmeleri durdurdu ve DEI’yi yaktı

Daha yakın bir olayda, DeFi protokolü Deus Finance, hafta sonu BNB Smart Chain ve Arbitrum dağıtımlarında bir hack’in kurbanı olduğunu doğruladı. Henüz kesinleşmemiş olsa da, manipülasyon sonucunda 6 milyon dolardan fazla kripto varlık kaybetti. PeckShield’e göre saldırı bir bot tarafından önceden tespit edildi ve hacker, DEI/BUSD havuzlarından 1.337.375 BUSD ve ARB/ETH havuzlarından ek 5 milyon dolar çaldı. Deus, daha fazla kaybı önlemek için tüm sözleşmeleri durdurdu ve DEI tokenlarını zincir üzerinde yaktı. Protokol ekibi, DEI’nin temel teminatını aktif olarak değerlendirdiklerini ve önceden yakılmış DEI bakiyelerine bağlı olarak kapsamlı bir geri kazanım ve geri ödeme planı hazırlayacaklarını ekledi.

İhlal sonrası bazı bireylerin arbitraj girişimlerine katılmış olabileceğini ve bu süreçte takılı kalmış olabileceklerini fark eden Deus, bu işlemlerin hızlı bir şekilde geri döndürülüp döndürülemeyeceğini aktif olarak değerlendirdiğini belirtti. DeFi platformu, şu anda kullanılan Deus v3 sisteminin DEI’den izole olduğunu ve bu nedenle olaylardan etkilenmediğini vurguladı. Ayrıca saldırgana elde edilen gelirin %80’ini iade etmesi ve geri kalanını beyaz şapka ödülü olarak kabul etmesi çağrısında bulundu. Bugün daha erken bir tweet‘de, DEI stablecoin ihraççısı Deus Finance, sömürücü(lerin) uyduğunu ve 2.023 ETH’yi Yearn Finance’in güvenilir üyeleri tarafından yönetilen bir kurtarma çoklu imzalı cüzdan adresine geri gönderdiğini söyledi.

Sam, mali içerik uzmanı ve blockchain alanında büyük bir ilgiye sahiptir. Maliye ve Siber Güvenlik alanlarında several firms ve medya kuruluşları ile çalışmıştır.