Decentralized Finance (DeFi) projelerinin başı dertten kurtulmuyor. Hemen hemen her hafta yeni bir soygun haberi gelmeye devam ediyor. Hackerlar hedefleri son günlerde, Binance Smart Chain (BSC) projeleri üzerinde yoğunlaşmaya başladı. Son kurban Belt Finance oldu.
Binance Smart Chain üzerinde çok stratejili getiri optimizasyonunu içeren bir AMM protokolü olan Belt Finance, bir “flash loan” saldırısının hedefi oldu. DeFi platformuna 8 ayrı adımda gerçekleşen saldırıda 6,2 milyon dolar çalındı. Saldırganlar BUSD olarak ele geçirdikleri kripto paraları Ethereum‘a çevirerek 1inch üzerinden kendi cüzdanlarına gönderdi. Belt Finance geliştiricileri konu hakkıda şu açıklamayı yaptı:
“4Belt havuzumuzun bir kısmı etkilendi (kesin miktar daha sonra açıklanacaktır). Şimdi güvenlik için sözleşmemizi analiz ediyor ve düzeltiyoruz. Tazminat planı ve hack raporu yakında çıkacak. BSC kasalarından çekim yapılması, sözleşme yükseltmesi tamamlanana kadar duraklatılacaktır.”
DeFi Hacklerinde Sıklıkla Duyduğumuz “Flash Loan” Saldırısı Nedir?
Flash Loan, teminatsız ve DeFi kredi protokolü Aave tarafından geliştirilen akıllı sözleşmelerle yönetilen yeni bir kredi türüdür. Flash Loan saldırıları gibi DeFi saldırıları, saldırgan kredi verme protokolünden ani ve yüklü miktarda bir kredi alır. Saldırgan ardından piyasayı kendi lehine çalışmak üzere manipüle etmek için aynı anda birden fazla taktik kullanır.
Bu saldırılar yalnızca birkaç saniye içinde gerçekleştirilebilir. Yine de dört veya daha fazla DeFi protokolünü içerebilir. Bu saldırılar, çekilmeleri kolay ve takip edilmesi zor olduğu için en yaygın olan DeFi saldırılarıdır. DeFi sektörünün 2020’den beri artan popülaritesiyle, flash loan saldırılarının sayısı giderek artıyor. Kayıplar ise yüz milyonlarca doları bulabiliyor.
Belt Finance Saldırısının Analizi
Binance Smart Chain üzerinde geliştirilen projeler, en son olay olan Belt Finance da dahil olmak üzere, flash loan saldırılarının hedefi haline gelmeye devam ediyor. Araştırma analisti Igor Igamberdiev, Twitter üzerinden saldırının ayrıntılı bir analizini paylaştı. Saldırılar, her bir işlemin PancakeSwap’ten 385 milyon dolar BUSD tutarında sekiz flash loan alınmasıyla başladı.
Saldırgan daha sonra ilk işlem için bEllipsisBUSD stratejisine 10 milyon BUSD yatırarak ‘En Yetersiz Strateji’ oldu. Daha sonra 187 milyon BUSD daha bVenusBUSD stratejisine yatırıldı (En Yetersiz Strateji).
Saldırgan daha sonra 190 milyon BUSD’yi Ellipsis aracılığıyla 169 milyon USDT’ye değiştirdi ve bVenusBUSD stratejisinden (En Çok Gözden Kaçan Strateji) daha fazla BUSD çekti. Bunu takiben, 169M USDT, Ellipsis aracılığıyla 189M BUSD’ye takas edildi ve daha fazla BUSD, bVenusBUSD stratejisine yatırıldı (En Yetersiz Strateji). Bu adımlar yedi defadan fazla tekrarlandı. Adımları sona erdirdikten sonra, saldırgan flash loanları geri ödedi ve karını çekti.
DeFi Geçmişinde Bu Tür Saldırılar Çok Yaygın
PancakeBunny ve BurgerSwap, yakın zamanda flash loan saldırısı mağduru olan iki DeFi projesi olarak öne çıkıyor. Bu iki projenin de ortak özelliği Binance Smart Chain üzerinde geliştirilmeleri. PancakeBunny Finance, ETH ve BNB karşılığı satılan 690.000 BUNNY token’ını kaybetti. Bu saldırı sonrası Bunny fiyatı %95,5 değer kaybetti.
BurgerSwap, 14 işlemde 7,2 milyon dolar kaybetti ve daha fazla zararı önlemek için Swap ve BURGER üretimini askıya aldı. BurgerSwap ekibi durumu araştırıyor ve şu anda bir çözüm arıyor. BurgerSwap detayları yakında yayınlayacak.
BSC, denetim şirketleriyle birlikte çalışarak ve sağlık kontrolleri gerçekleştirerek daha fazla saldırıları önlemek için tüm dApp’leri gerekli önlemleri almaya çağırdı. Çatallı projelerden, değişikliklerini orijinal sürümlerden üç kez kontrol etmeleri istendi.
Anormallikleri gerçek zamanlı ve aktif olarak izlemek için risk kontrol önlemlerinin uygulanması, anormallikler meydana gelirse protokollerin duraklatılması, en kötü durum senaryoları için bir acil durum planının yapılması ve ilgili projelere veya ImmuneFi’ye göre ödül programlarının oluşturulması ise BSC’nin talep ettiği önlemlerden bazıları.
Sorumluluk Reddi
Sorumluluk Reddi: Trust Project yönergelerine uygun olarak BeInCrypto, haberlerde tarafsız ve şeffaf raporları garanti eder. Bu haber makalesi doğru ve güncel bilgi vermeyi amaçlamaktadır. Ancak okuyucuların bu içeriğe dayalı herhangi bir karar vermeden önce tüm bilgileri bağımsız olarak doğrulamaları ve bir profesyonele danışmaları tavsiye edilir.