Kripto havuzu likiditesi, merkezi olmayan bir finans (DeFi) likidite havuzunda kilitlenen toplam varlıklardır.
Bilgisayar korsanları, fiyatları kontrol etmelerine ve karlı işlemler yürütmelerine olanak tanıyan yapay dengesizlikler yaratmak için havuz likiditesini manipüle eder.
Sadece bu da değil, çoğu zaman ekosistemdeki diğer kullanıcıların aleyhine önemli mali kazançlarla da sonuçlanır.
Check Point’teki siber güvenlik araştırmacıları yakın zamanda Tehdit İstihbaratı sisteminin havuz manipülasyonunu işaretleyerek %22.000 token artışına neden olduğunu bildirdi.
Bu manipülasyonda saldırgan, likidite havuzundan yararlanarak 80.000 dolar çalmayı başardı.
Hackerlar Kripto Likidite Havuzlarından Yararlanıyor
Analiz sırasında araştırmacılar dolandırıcı tarafından oluşturulan iki cüzdan buldular ve aşağıda bunlardan bahsettik:
- 0x48F7661E84A823505d683D092a2DccdA1e5aA119
- 0x151a2498826F9fe6f214C92bB1811f7d1153b630
Cüzdan, WETH ve WIZ rezervleriyle WIZ tokenını (0x2ae38b2b47bf41ba4ab8f749b092fdd02b00bc1e) ve likidite havuzunu (0x6e0367d897a8fd8bcbc44b4e2a14bafa904360aa) konuşlandırdı.
İkinci cüzdan (0x151a2498826F9fe6f214C92bB1811f7d1153b630), WIZ token fiyat manipülasyonu için bir arka kapıdan yararlanarak kötü amaçlı sözleşme (0x796042E0032aC5247bc04A49102d49c5b5A5cF0c) oluşturdu ve 80.000 dolarlık bir hırsızlığa yol açtı.
Aşağıda tüm çalışma yöntemlerinden bahsettik: –
- Jeton Oluşturma
- Jeton Promosyonu
- Yatırımcı Katılımı
- Havuz Manipülasyonu
- Dolandırıcının Kazancı
Token A ve Ethereum’u tutan dijital bir rezervuar hayal edin. Kullanıcılar bu jetonları serbestçe değiştirerek değerlerini etkiler. Dolandırıcı, Token A’yı yakarak havuzu manipüle eder ve arz ve talep dinamikleri yoluyla değerini artırır.
Token A’daki azalma Ethereum’un değerini artırarak özellikle WIZ/WETH havuzundaki WIZ için token fiyatında önemli bir artışa neden oluyor.
Bu strateji, bir tarafı yakarak likidite havuzlarındaki token fiyatlarını geçici olarak şişirir. Havuz oranlarına dayanan merkezi olmayan borsalar, halı çekme gibi istismarlara karşı savunmasızdır.
Dolandırıcı, _burn işlevine ulaşmak için, ‘removeLimits’ çalıştırılarak, limitEnabled’ı False olarak ayarlayarak kontrolleri atlar.
İkinci kontrol, ‘from’ adresinin ExcludeFromFees için False ve isExcludedForMaxTxAmount için True döndürmesini gerektirir. Kamu işlevlerini dolandırıcının sözleşme adresini girdi olarak kullanarak çalıştırmak bu koşulları doğrular.
WIZ tokenını inceleyen uzmanlar, muhtemelen yaratıcısı olan dolandırıcının, kötü niyetli sözleşme adresi için ExcludedForMaxTxAmount değerini True olarak ayarladığı bir arka kapı buluyor.
Bu bağlantı, hem WIZ tokenını hem de dolandırıcılığı tasarlayan aynı kişiyi akla getiriyor.
Dolandırıcı, merkezi olmayan döviz kurlarını etkilemek için dengeleri manipüle ederek likidite havuzundaki token fiyatlarını geçici olarak artırıyor. Bu taktik, farklı sözleşmelere bağlı likidite havuzlarındaki kırılganlığı ortaya çıkarıyor.
Arka kapıları istismar eden dolandırıcılar, likidite havuzlarını manipüle ederek, merkezi olmayan finansta dolandırıcılık planlarına karşı dikkatli olunması gerektiğinin altını çiziyor.