Gün geçmiyorki kripto para piyasalarında yeni bir FUD gelişme olmasın.
Pazar günü, merkeziyetsiz finans (DeFi) uygulaması Curve Finance protokolünde beş farklı siber akın gerçekleştirildi ve bu hacklerin sebep olduğu ziyan mutlaklaşmış haliyle 47 milyon dolar olarak açıklandı. Kimi uzmanlara nazaran ziyan 70 milyon dolara kadar çıkabilir.
Saldırının gerçekleştiği sırada CRV fiyatı zincir üzerinde 0.10 dolara kadar düştü.
Bu olay, Curve Finance üzerindeki çeşitli havuzların kullandığı Vyper 0.2.15, 0.2.16 ve 0.3.0 sürümlerindeki güvenlik açığının bir sonucu olarak gerçekleşti.
Hacklenmenin birincil nedeni, Ethereum Virtual Machine’i (EVM) hedefleyen kontrat odaklı, pythonik bir programlama lisanı olan Vyper’ın belli sürümlerinin yine giriş kilitlerindeki bir açıktı. Bu programlama lisanı, Python ile benzerliği nedeniyle Web3’e geçiş yapan Python geliştiricileri için tercih edilen bir seçimdir.
Saldırıyı detaylı olarak anlatmak gerekirse, birinci hack 11 milyon dolar pahasında bir pool olan JPEG’d pETH-ETH havuzunu etkiledi, akabinde ALchemix’in alETH-ETH, Pendle’ın pETH-ETH, Metronome’un msETH-ETH ve CRV-ETH havuzlarına dört taarruz daha gerçekleşti.
Curve Finance’ten yapılan açıklamaya nazaran, bu hücumların bir kısmı, makus niyetli hackerlardan evvel likidite havuzlarındaki fonları korumak isteyen güzel niyetli hackerlar tarafından gerçekleştirildi. Hacklenme sorunu çözülür çözülmez güzel niyetli hackerlar kurtardıkları fonları Curve Finance’e iade ettiler.
İlk araştırmaya nazaran, Vyper derleyicisinin birtakım sürümleri, bir mukaveleyi engelleyerek ve varlıkların havuzlardan boşaltılmasına müsaade vererek birden fazla fonksiyonun tıpkı anda yürütülmesini önleyen tekrar giriş muhafazasını düzgün bir biçimde uygulamadıkları ortaya çıktı.
Şu anda, öbür DeFi protocollerinin kullacıları Vyper’ın bu sürümlerini kullanan tüm DeFi projeleri hacklenme riski altında olduğu için panik halinde varlıklarını protokollerden çekiyorlar.
Birçok topluluk kullanıcısı, Alchemix, JPEG’d ve Curve takım üyelerini (Vyper kod tabanının bakımında faal olarak yer alanlar) yaşanan yanılgıdan ötürü birincil derecede sorumlu tutuyorlar.
Bununla birlikte, Wildcat Finance’in kurucusu Dr. Laurence Day, sorunun a priori denetimlerin eksikliğinden kaynaklandığını ve parmakla birilerini işaret etmeye gerek olmadığını belirtti.
MEV botları konusunun da bu kıssanın bir modülü haline geldiğini not etmek çok değişik olacak: Bir MEV araştırmacısı, hackerdan evvel davranarak pETH-ETH havuzunda yaşanan birinci hack’te havuzdan bir ölçü para çıkardı.
DefiLlama’nın bilgilerine nazaran, Curve Finance’in TVL’si 48% düşerek bir günde 3.26 milyar dolardan 1.67 milyar dolara düştü.
Aslında, yatırımcılar atağın öbür likidite havuzlarına bulaşma tehlikesinden korktukları için fırtınanın dinmesini beklemeyi tercih ettiler. Bu tercih Curve Finance’in büyük ölçüde likidite kaybetti.
Öne Çıkan Notlar:
Güney Kore borsası Upbit para yatırma ve çekme süreçlerinin askıya almasının akabinde, bir öbür Güney Kore borsası Bithumb’ta CRV fiyatı yaklaşık %640 yükselişle yaklaşık 4,7 dolara ulaştı.
Diğer borsalarda CRV yaklaşık 0,81 dolardan süreç görüyor.
Bithumb ve Upbit, CRV spot süreç hacminde üçüncü ve dördüncü sıraya yükseldiler.
Son gelişmelerden sonra DeFi tarafı yara almaya devam edecek mi daima birlikte izlemeye devam edeceğiz.
Loading...
