Bilgisayar korsanları, merkezi olmayan borsadan 214.000 LVL jetonunu boşaltmak için bir Level Finance akıllı sözleşme güvenlik açığından yararlandı ve bunları yaklaşık 1.100.000 $ değerindeki 3.345 BNB ile takas etti.
Level Finance, saldırının likidite havuzunu ve DAO hazinesini etkilemediğini ve istismarın diğer tüm sözleşmelerden izole edildiğini söylese de, saldırı öğrenildikten hemen sonra LVL tokeni değerinin kabaca %50’sini kaybetti.
Şirket, soruşturma daha fazlasını ortaya çıkarır çıkarmaz durumla ilgili güncellemeler sağlama sözü verdi. DAO o zamandan beri, topluluğun saldırı tarafından dolaşıma eklenen 214K LVL belirteçlerini nasıl ele alması gerektiğine dair oy isteyen bir teklif yayınladı.
Blockchain güvenlik ve veri analitiği şirketi PeckShield açıkladı ihlal edilen akıllı sözleşmenin, ‘LevelReferralControllerV2’, requestMultiple işlevinde, kullanıcıların aynı dönem (süre) içinde tekrar tekrar yönlendirme ödülleri talep etmesine izin veren bir mantık hatası içerdiğini.
Akıllı sözleşme denetçisi BlockSec de aynı sonuca ulaştı ve hacker’ın geçen haftadan bu yana birkaç kez açıktan yararlanmaya çalıştığını ve başarısız olduğunu ekledi.
“Talep ödülü özellikle yönlendirme ve ödül puanlarının düzeyine göre belirlendi, bu nedenle saldırgan aşağıdaki hazırlığı yaptı: 1) birçok yönlendirme oluşturup ayarlamak; 2) düzinelerce takas gerçekleştirmek için flashloan kullanmak (ödül postSwap’te güncellendi) işlev),” BlockSec’i Twitter’da açıkladı.
Saldırgan, akıllı sözleşme hatasından yararlanarak elde edebilecekleri ödülleri en üst düzeye çıkarmak için birden fazla yönlendirme hesabı oluşturdu.
Yönlendirme ödüllerini daha da artırmak için flashloans (tek işlemli ödünç alma ve iade) kullanıldı ve saldırganın bir jetondan diğerine düzinelerce takas yapmasına ve her seferinde eylem için bir ödül almasına izin verdi.
Sonunda, saldırgan dün doğru adımları attı ve kendisine 1,1 milyon dolar kazandıran hack’i başlattı.
Denetlenmiş, güvenli anlamına gelmez
Level Finance, bağımsız firmalardan iki denetim emri vererek varlıkları korumak için elinden gelenin en iyisini yapmış olsa da, bilgisayar korsanı yine de kaçırılan hataları kullanarak para çalmak için koddan yararlanmanın bir yolunu buldu.
Ancak Level Finance 2023’te iki kez denetlenirken, savunmasız fonksiyonun denetlenip denetlenmediği veya sonradan eklenip eklenmediği net değil.
Güvenlik denetimleri ne kurşun geçirmezdir ne de geçmişte birçok kez gördüğümüz gibi emniyet ve güvenliğin güvencesi olarak ele alınmalıdır.
Geçen hafta DEX Merlin, “platformun yapısal bütünlüğü ve kontrollerindeki büyük bir hata” nedeniyle ele geçirildi. 1,82 milyon dolar kaybetmek o haydut içeridekiler likidite havuzundan çekildi. Bu, DEX Merlin’den sadece birkaç gün sonra meydana geldi. ilan edildi blockchain güvenlik firması CertiK tarafından başarılı bir denetim.
Geçen yıl, merkezi olmayan müzik platformu Audius, bir saldırganın tanıtıldığından bu yana ayrı denetçiler tarafından iki derinlemesine güvenlik değerlendirmesinden geçen bir sistemdeki bir kusurdan faydalanmasının ardından 6 milyon dolar değerinde jeton kaybetti.