Gün geçmiyorki kripto para piyasalarında yeni bir FUD gelişme olmasın.
Pazar günü, merkeziyetsiz finans (DeFi) uygulaması Curve Finance protokolünde beş ayrı siber saldırı gerçekleştirildi ve bu hacklerin sebep olduğu zarar kesinleşmiş haliyle 47 milyon dolar olarak açıklandı. Bazı uzmanlara göre zarar 70 milyon dolara kadar çıkabilir.
Saldırının gerçekleştiği sırada CRV fiyatı zincir üzerinde 0.10 dolara kadar düştü.
Bu olay, Curve Finance üzerindeki çeşitli havuzların kullandığı Vyper 0.2.15, 0.2.16 ve 0.3.0 sürümlerindeki güvenlik açığının bir sonucu olarak gerçekleşti.
Hacklenmenin birincil nedeni, Ethereum Virtual Machine’i (EVM) hedefleyen sözleşme odaklı, pythonik bir programlama dili olan Vyper’ın belirli sürümlerinin yeniden giriş kilitlerindeki bir açıktı. Bu programlama dili, Python ile benzerliği nedeniyle Web3’e geçiş yapan Python geliştiricileri için tercih edilen bir seçimdir.
Saldırıyı ayrıntılı olarak anlatmak gerekirse, ilk hack 11 milyon dolar değerinde bir pool olan JPEG’d pETH-ETH havuzunu etkiledi, ardından ALchemix’in alETH-ETH, Pendle’ın pETH-ETH, Metronome’un msETH-ETH ve CRV-ETH havuzlarına dört saldırı daha gerçekleşti.
Curve Finance’ten yapılan açıklamaya göre, bu saldırıların bir kısmı, kötü niyetli hackerlardan önce likidite havuzlarındaki fonları korumak isteyen iyi niyetli hackerlar tarafından gerçekleştirildi. Hacklenme sorunu çözülür çözülmez iyi niyetli hackerlar kurtardıkları fonları Curve Finance’e iade ettiler.
İlk araştırmaya göre, Vyper derleyicisinin bazı sürümleri, bir sözleşmeyi engelleyerek ve varlıkların havuzlardan boşaltılmasına izin vererek birden fazla işlevin aynı anda yürütülmesini önleyen yeniden giriş korumasını düzgün bir şekilde uygulamadıkları ortaya çıktı.
Şu anda, diğer DeFi protocollerinin kullacıları Vyper’ın bu sürümlerini kullanan tüm DeFi projeleri hacklenme riski altında olduğu için panik halinde varlıklarını protokollerden çekiyorlar.
Birçok topluluk kullanıcısı, Alchemix, JPEG’d ve Curve ekip üyelerini (Vyper kod tabanının bakımında aktif olarak yer alanlar) yaşanan hatadan dolayı birincil derecede sorumlu tutuyorlar.
Bununla birlikte, Wildcat Finance’in kurucusu Dr. Laurence Day, sorunun a priori kontrollerin eksikliğinden kaynaklandığını ve parmakla birilerini işaret etmeye gerek olmadığını belirtti.
MEV botları konusunun da bu hikayenin bir parçası haline geldiğini not etmek çok ilginç olacak: Bir MEV araştırmacısı, hackerdan önce davranarak pETH-ETH havuzunda yaşanan ilk hack’te havuzdan bir miktar para çıkardı.
DefiLlama’nın verilerine göre, Curve Finance’in TVL’si 48% düşerek bir günde 3.26 milyar dolardan 1.67 milyar dolara düştü.
Aslında, yatırımcılar saldırının diğer likidite havuzlarına bulaşma tehlikesinden korktukları için fırtınanın dinmesini beklemeyi tercih ettiler. Bu tercih Curve Finance’in büyük miktarda likidite kaybetti.
Öne Çıkan Notlar:
Güney Kore borsası Upbit para yatırma ve çekme işlemlerinin askıya almasının ardından, bir diğer Güney Kore borsası Bithumb’ta CRV fiyatı yaklaşık %640 yükselişle yaklaşık 4,7 dolara ulaştı.
Diğer borsalarda CRV yaklaşık 0,81 dolardan işlem görüyor.
Bithumb ve Upbit, CRV spot işlem hacminde üçüncü ve dördüncü sıraya yükseldiler.
Son gelişmelerden sonra DeFi tarafı yara almaya devam edecek mi hep beraber izlemeye devam edeceğiz.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.