Hacker, Fonları Çalmak İçin Yanlış Bir Şekilde DeFi Protokolünde Fiyat Oracle’ı Kullandı
Rashmi Ramesh (rashmiramesh_) •
2 Şubat 2023
Başka bir gün, başka bir kripto hack: Çarşamba günü bir bilgisayar korsanı, kripto para birimini çalmak için merkezi olmayan bir platformda bir akıllı sözleşme güvenlik açığından yararlandı.
Bilgisayar korsanının ne kadar çaldığı – kime sorduğunuza bağlıdır. Belki 120 milyon dolardı. Ya da muhtemelen sadece 1 milyon dolar. Kesin olan bir şey var: geleneksel banka soyguncuları asla bu tür sorularla uğraşmak zorunda kalmadı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Şimdilik BonqDAO protokolü, platformundaki tüm işlemleri duraklattı.
İşte olanlar. Platform Çarşamba günü yaptığı açıklamada, bir bilgisayar korsanının, tokenlerin döviz kurunu fiyatlandırmak için kullanılan – kehanet olarak bilinen – yazılımda bir kusur bulduğunu söyledi. cıvıldamak. Oracle’daki kusur, bilgisayar korsanının listelenen belirteçlerin fiyatını manipüle etmesine ve yenilerini basmasına izin verdi.
Güvenlik şirketi PeckShield, Information Security Media Group’a esasen, bilgisayar korsanının “geçersiz bir yüksek fiyatla çok az teminatla büyük miktarda fon ödünç alabileceğini” söyledi.
PeckShield mandal BonqDAO, bilgisayar korsanının birden fazla işlemde 108 milyon dolar değerinde BEUR belirteçleri ve 11 milyon dolar değerinde paketlenmiş ALBT belirteçleri çalmasıyla 120 milyon dolar kaybetti.
Ancak işin püf noktası şu: Bilgisayar korsanının çaldığı para miktarı, bilgisayar korsanının elinde tuttuğu para miktarı değildir.
CertiK, ISMG’ye verdiği demeçte, güvenlik açığı teminatlandırma oranının kontrol edilmemesinden kaynaklandı: bu, saldırganın 1.000 ABD Dolarından daha az teminatla 100 milyon BEUR “borç almasına” izin verdi. CertiK, platformdaki sınırlı likidite nedeniyle, bilgisayar korsanının saldırının ardından yalnızca yaklaşık 1 milyon doları çıkarabildiğini söylüyor.
PeckShield, hacker’ın çalınan jetonları eşdeğer değerdeki jetonlarla değiştiremeyeceğini söylüyor. Bir şirket sözcüsü, “Diyelim ki bin $ ALBT şu anda 30 $ değerindeyse, bilgisayar korsanı onları takas ettiğinde değerleri yalnızca 10 $’dı. Yetersiz likidite büyük kayıplara neden oluyor” dedi. Kayma, bir emrin verildiği andan itibaren gerçekleşen fiyat farkını ifade eder. Aradaki fark, ticaret hacmine ve faaliyete bağlı olarak sıklıkla dalgalanma gösterebilen değişken kripto fiyatlarından kaynaklanmaktadır.
PeckShield, bilgisayar korsanının çalınan fonların bir kısmını devre dışı bırakmak için çapraz zincirler ve takas mekanizmaları kullandığını ve fonların bir kısmını boşalttığını söylüyor. Yazma sırasında, saldırganın cüzdanında yaklaşık 5 milyon dolar vardı, geri kalanını diğer cüzdanlara çapraz zincirledi ve 42.000 dolar değerinde jeton attı.
ALBT belirteçleri çıkaran merkezi olmayan altyapı platformu Alliance Block, onaylanmış hırsızlık. BonqDAO’daki tüm likiditeyi kaldıracağını ve borsa ticaretini durduracağını söyledi. Hacker, Alliance Block’taki diğer akıllı sözleşmelerden yararlanmadı ve hack’te para kaybedenleri telafi etmek için yeni ALBT tokenleri basacağını da sözlerine ekledi.
Web3 güvenlik firması SlowMist de saldırının teknik bir analizini paylaştı:
SlowMist Güvenlik Uyarısı
2 Şubat’ta, @BonqDAO Polygon zincirinde saldırıya uğradı, istismarcının toplam karı 113M WALBT ve 98.6M BEUR.
İşte kısa bir rapor:
— SlowMist (@SlowMist_Team) 2 Şubat 2023
Güvenlik firması CertiK, olayın uzman denetçiler tarafından kod incelemesinin önemini vurguladığını söylüyor. Şirket, ISMG’ye “Aksi takdirde sağlam bir protokoldeki tek bir kod satırı, kullanıcılar için bir projenin geleceğini tehlikeye atan büyük kayıplara neden olabilir – ve çoğu zaman olur” dedi.