Yayınlanma: 18 Nisan 2023 01:25
Güncellenme: 22 Kasım 2024 06:44
Çok zincirli borç verme protokolü Hundred Finance, Ethereum katman-2 blok zinciri Optimism'de önemli bir güvenlik ihlali yaşadı. Söz konusu protokol, kayıpların 7,4 milyon dolar olduğunu tweetledi.
Güvenlik açığını 15 Nisan'da duyuran Hundred Finance, bilgisayar korsanıyla temasa geçtiğini ve olayla ilgili olarak çeşitli güvenlik ekipleriyle birlikte çalıştığını söyledi. Protokol saldırının nasıl gerçekleştirildiğini açıklamasa da, blockchain güvenlik firması CertiK bunun bir flash kredi saldırısı olduğunu söyledi:
"Flaş kredi saldırıları, bir bilgisayar korsanının bir borç verme protokolünden bir tür teminatsız kredi yoluyla büyük miktarda fon ödünç almasını içerir. Bilgisayar korsanı daha sonra bu fonları merkezi olmayan bir finans (DeFi) platformundaki bir varlığın fiyatını manipüle etmek için kullanır."
Saldırgan, Hundred'ın durumunda ERC-20 tokenleri ile hTOKENS arasındaki döviz kurunu manipüle ederek, Certik'e göre, başlangıçta yatırılandan daha fazla token çekmelerine izin verdi. Blockchain güvenlik firması şöyle devam etti:
"Döviz kuru formülü Nakit değeri üzerinden manipüle edildi. Nakit, hBTC sözleşmesinin sahip olduğu WBTC miktarıdır. Saldırgan, hToken sözleşmesine büyük miktarlarda WBTC bağışlayarak bunu manipüle etti, böylece döviz kuru yükseldi."
Certik, manipüle edilen döviz kuru altında büyük krediler alındığını söylüyor. Hundred Finance olayla ilgili bir otopsi raporu hazırlıyordu.
Söz konusu saldırı, Hundred'ın Gnosis Chain'de başka bir istismara maruz kalmasından neredeyse 12 ay sonra gerçekleşti. O dönemde bilgisayar korsanı, bir yeniden merkezleme saldırısı yoluyla protokolün tüm likiditesini boşaltmış ve 6 milyon dolardan fazla para almıştı. Aynı saldırıda bilgisayar korsanı Agave protokolünden de fon çalmıştı.
Geçtiğimiz yıldan bu yana, bir dizi fail DeFi protokollerini hedef almak için flaş kredi saldırılarını kullandı. Yakın tarihli vakalar arasında Euler Finance (196 milyon $) ve Mango Markets'a (46 milyon $) yönelik saldırılar yer alıyor. Euler'in bilgisayar korsanı fonların çoğunu iade ederken, Mango'nun hırsızı ABD'li yetkililer tarafından tutuklandı.