Warp Finance, bir flash loan (ani kredi) saldırısına uğradı. Bilgisayar korsanı, çoklu protokollere ve takaslara dayalı karmaşık bir şema kullandı. Ekibin, kullanıcıların kayıplarını telafi etmek için bir planı olduğu ifade edildi.
Başka bir DeFi projesi daha hack’lendi ve DAI ve USDC olarak yaklaşık 8 milyon dolarlık kullanıcı fonu kaybedildi. Saldırgan, dijital izi gizlemek için karmaşık bir çok protokollü flaş kredi planını ve Tornado Cash’i kullandı.
1/ Approximately 2 hours ago, https://t.co/nS5MGArVoP was exploited with a complex flash loan attack which allowed the user to borrow more than their collateral value resulting in a loss of stablecoin lender funds.
— warp.finance (@warpfinance) December 18, 2020
Saldırganın gerçekleştirdiği bu atak, kripto para topluluğunun ilgisini çekti. Bir kripto para yorumcusuna göre saldırgan Tornado Cash’ten ETH tarafından finanse edilen bir hesap, dXdY’den 51 milyon flash kredi yarattı ve hemen ardından Uniswap’te 180 milyon dolarlık bir takas gerçekleştirdi. Warp Finance’ta yer alan kasalardaki USDC ve DAI’leri boşaltan saldırgan 1 milyon dolarlık ETH ile kayıplara karıştı.
Burada esas nokta bu gibi saldırıların sistem açıklarından yararlanması nedeniyle suç olarak nitelendirilip nitelendirilemeyeceği. Yerli kripto para topluluğunun önemli isimlerinden Celil Öztürk bunu sorgulayan bir tweet attı. Öztürk, şunları söyledi:
“Sistemde bir açıklık istismar ediliyor evet ama yetkisiz erişim şeklinde bir açıklıktan söz etmiyoruz. O nedenle bu saldırıları hukuki olarak nasıl nitelendirebiliriz ciddi anlamda tartışmalı, yani bir hırsızlık denebilir mi?”
Sistemde bir açıklık istismar ediliyor evet ama yetkisiz erişim şeklinde bir açıklıktan söz etmiyoruz.
O nedenle bu saldırıları hukuki olarak nasıl nitelendirebiliriz ciddi anlamda tartışmalı, yani bir hırsızlık denebilir mi?
— Celil Ozturk (@cybrspcffrs) December 18, 2020
Öztürk ayrıca, “Flash Loan saldırısı ve bu saldırının yöntemine bakınca, hukuki olarak bir suç oluştuğinu iddia etmek çok zor. Ancak özel birtakım düzenlemelerle bu tür saldırılara karşı bir politika geliştirilebilir. Buna rağmen çok özgün ve statüsü tartışmalı işlemler” ifadelerini de kullandı.
Kripto para topluluğunda bu olayı yorumlayan bazı kişiler de saldırganın çok zeki olduğunu dile getiriyor. Bir kısmı da bu olayın sadece kodlarla alakalı olduğunu doğru yöntemin bilinmesi halinde bu tür işlemlerin yapılabileceğini söylüyor.
Hack Nasıl Gerçekleşti?
Perşembe günü geç saatlerde, topluluk üyeleri Warp Finance protokolünde düzensiz faaliyetler fark ettiler. Birisi, protokolün USDC ve DAI kasalarını boşaltmak için flaş kredi planında birden fazla işlem kullandı.
Flash kredi, aynı blok içinde geri ödenmesi koşuluyla, herkesin teminat olmadan anında kredi almasına olanak tanıyan kullanışlı bir DeFi özelliğidir. Warp Finance durumunda, bilgisayar korsanı teminat değerinden daha fazlasını borç vermek için karmaşık bir plan kullandı ve bu da borç verenin para kaybetmesine neden oldu.
Proje ekibi saldırıyı onayladı ve durum araştırılıncaya kadar protokole stablecoin yatırmaktan kaçınmayı önerdi. Hacker, DAI ve USDC’de 7.7 milyon doların kaybolmasına neden oldu ancak ekip, teminat kasasından kurtarılabilecek ve kayıpları karşılamak için kullanılabilecek yaklaşık 5.5 milyon dolar olduğunu iddia ediyor.
DeFi Italy’nin kurucusu Emiliano Bonassi, bilgisayar korsanlarının çeşitli protokollerde birden çok kredi ve takasla karmaşık saldırılar başlatma eğiliminde olduğunu fark etti. Bu arada, başka bir DeFi uzmanı Nick Chong, bilgisayar korsanlarının yalnızca 1 milyon dolar ile kaçtığını, geri kalanın ise ücret ödemek için kullanıldığını söyledi.
“Burada ilginç bulduğum şey, saldırganın ödüllerinin çoğunun ücretlere gitmesi. Warp sözleşmelerinde 3.85m DAI ve 3.92m USDC vardı. Saldırgan (görünüşte) 1 milyon dolarlık ethereum (1,462 ETH) ile ayrıldı.”
DeFi sektörü saldırılara karşı savunmasız ve Wrap Finance ilk kurban değil. Yılın başından bu yana, endüstri, hack saldırıları nedeniyle 100 milyon dolar kaybetti.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.