Warp Finance, bir flash loan (ani kredi) saldırısına uğradı. Bilgisayar korsanı, çoklu protokollere ve takaslara dayalı karmaşık bir şema kullandı. Ekibin, kullanıcıların kayıplarını telafi etmek için bir planı olduğu söz edildi.
Başka bir DeFi projesi daha hack’lendi ve DAI ve USDC olarak yaklaşık 8 milyon dolarlık kullanıcı fonu kaybedildi. Saldırgan, dijital izi gizlemek için karmaşık bir çok protokollü flaş kredi planını ve Tornado Cash’i kullandı.
1/ Approximately 2 hours ago, https://t.co/nS5MGArVoP was exploited with a complex flash loan attack which allowed the user to borrow more than their collateral value resulting in a loss of stablecoin lender funds.
— 🟢warp.finance (@warpfinance) December 18, 2020
Saldırganın gerçekleştirdiği bu atak, kripto para topluluğunun ilgisini çekti. Bir kripto para yorumcusuna nazaran saldırgan Tornado Cash’ten ETH tarafından finanse edilen bir hesap, dXdY’den 51 milyon flash kredi yarattı ve çabucak akabinde Uniswap’te 180 milyon dolarlık bir takas gerçekleştirdi. Warp Finance’ta yer alan kasalardaki USDC ve DAI’leri boşaltan saldırgan 1 milyon dolarlık ETH ile kayıplara karıştı.
Burada temel nokta bu üzere taarruzların sistem açıklarından yararlanması nedeniyle hata olarak nitelendirilip nitelendirilemeyeceği. Yerli kripto para topluluğunun değerli isimlerinden Celil Öztürk bunu sorgulayan bir tweet attı. Öztürk, şunları söyledi:
“Sistemde bir açıklık istismar ediliyor evet lakin yetkisiz erişim biçiminde bir açıklıktan kelam etmiyoruz. O nedenle bu hücumları hukuksal olarak nasıl nitelendirebiliriz önemli manada tartışmalı, yani bir hırsızlık denebilir mi?”
Sistemde bir açıklık istismar ediliyor evet ama yetkisiz erişim şeklinde bir açıklıktan söz etmiyoruz.
O nedenle bu saldırıları hukuki olarak nasıl nitelendirebiliriz ciddi anlamda tartışmalı, yani bir hırsızlık denebilir mi?
— Celil Öztürk (@cybrspcffrs) December 18, 2020
Öztürk ayrıyeten, “Flash Loan saldırısı ve bu akının yoluna bakınca, hukuksal olarak bir cürüm oluştuğinu argüman etmek çok sıkıntı. Lakin özel birtakım düzenlemelerle bu cins akınlara karşı bir siyaset geliştirilebilir. Buna karşın çok özgün ve statüsü tartışmalı işlemler” tabirlerini de kullandı.
Kripto para topluluğunda bu olayı yorumlayan kimi bireyler de saldırganın çok zeki olduğunu lisana getiriyor. Bir kısmı da bu olayın yalnızca kodlarla alakalı olduğunu gerçek usulün bilinmesi halinde bu çeşit süreçlerin yapılabileceğini söylüyor.
Hack Nasıl Gerçekleşti?
Perşembe günü geç saatlerde, topluluk üyeleri Warp Finance protokolünde sistemsiz faaliyetler fark ettiler. Birisi, protokolün USDC ve DAI kasalarını boşaltmak için flaş kredi planında birden fazla süreç kullandı.
Flash kredi, tıpkı blok içinde geri ödenmesi şartıyla, herkesin teminat olmadan anında kredi almasına imkan tanıyan kullanışlı bir DeFi özelliğidir. Warp Finance durumunda, bilgisayar korsanı teminat bedelinden daha fazlasını borç vermek için karmaşık bir plan kullandı ve bu da borç verenin para kaybetmesine neden oldu.
Proje takımı saldırıyı onayladı ve durum araştırılıncaya kadar protokole stablecoin yatırmaktan kaçınmayı önerdi. Hacker, DAI ve USDC’de 7.7 milyon doların kaybolmasına neden oldu lakin takım, teminat kasasından kurtarılabilecek ve kayıpları karşılamak için kullanılabilecek yaklaşık 5.5 milyon dolar olduğunu sav ediyor.
DeFi Italy’nin kurucusu Emiliano Bonassi, bilgisayar korsanlarının çeşitli protokollerde birden çok kredi ve takasla karmaşık ataklar başlatma eğiliminde olduğunu fark etti. Bu ortada, öteki bir DeFi uzmanı Nick Chong, bilgisayar korsanlarının sırf 1 milyon dolar ile kaçtığını, geri kalanın ise fiyat ödemek için kullanıldığını söyledi.
“Burada değişik bulduğum şey, saldırganın ödüllerinin birçoklarının fiyatlara gitmesi. Warp kontratlarında 3.85m DAI ve 3.92m USDC vardı. Saldırgan (görünüşte) 1 milyon dolarlık ethereum (1,462 ETH) ile ayrıldı.”
DeFi dalı ataklara karşı savunmasız ve Wrap Finance birinci kurban değil. Yılın başından bu yana, sanayi, hack akınları nedeniyle 100 milyon dolar kaybetti.
