İstismarın Yuvarlanması, Sihirli internet Parası İçin Sorun Yaratır

Ocak ayı sona erdiğinde, bir dizi istismardan sonra DeFi güvenliği için zor bir ay gibi görünüyor. Son kurban Abrakadabra'ydı.para, 2021 boğa piyasası sevgilisi ve Magic Internet Money (MIM) stablecoin'in ihraççısı.

Olay, yazı yazıldığı sırada bir miktar 0,93 dolara düşmeden önce Salı günü 0,77 dolara kadar düşmesine neden oldu.

Web3 güvenlik firmaları PeckShield ve CertiK, ilk olarak Abracadabra'nın X hesabı tarafından onaylanan istismarı bildirdi.

Bir bilgisayar korsanı Ethereum'da en az 6,5 milyon dolarlık MIM çalabildi. Hırsızın cüzdanı Tornado Cash ile finanse edildi ve hacklemenin ardından çalınan MIM jetonları eter (ETH) ile değiştirildi ve saat 12: 30'dan itibaren sırasıyla 1800 ETH ve 939 ETH içeren bir çift yeni cüzdana aktarıldı. 

Bir CertiK sözcüsü Blockworks'e bilgisayar korsanının protokoldeki yuvarlama hatasından, özellikle de 2023'ün başlarında dağıtılan “kazan v4” sözleşmelerinden yararlandığını söyledi.

Kazanlar, kripto varlıklarının ödünç verilmesini ve ödünç alınmasını kolaylaştıran bir DeFi dapp'tır. Ödünç alınan fonlar iki şekilde izlenir: Faiz oranları nedeniyle değişebilen fiili ödünç alınan tutarı temsil eden elastik ve iç hesaplamalar için kullanılan borcun daha istikrarlı bir temsili olan taban.

Şüpheli işlem, hatalı bir hesaplamanın bilgisayar korsanının ödünç alınan borç payını şişirmesine izin verdiği bir dizi adımı gösterir.

Blockworks ile paylaşılan CertiK tarafından yapılan analize göre, protokolün elastik ve temel değerleri senkronize etmesi gereken “rebase kitaplığı”, elastik değer sıfır olduğunda ancak taban olmadığında tutarsızlıkları hesaba katamadı.

Esasen saldırgan, yuvarlama hatasından defalarca yararlanarak protokolü borcu küçümsemesi için kandırdı ve gerçekte borçlu olduklarından çok daha azını etkili bir şekilde geri ödedi.

Ocak Ayı DeFi istismarlarını izleme

2024'ün ilk ayına baktığımızda, bug bounty ve güvenlik servisi Immunefı, Abrakadabra istismarından önce Ocak ayında 19 olayda 126 milyon doların üzerinde kayıp olduğunu tespit etti.

Immunifi, bunun bir yıl öncesine göre altı kat ve Aralık 2023'te meydana gelen kayıplardan 2,8 kat daha fazla olduğunu söyledi.

Bunların çoğu, Yörünge Köprüsünden 81 milyon dolardan fazla para alındığında 2024'ü başlatan ilk istismardan kaynaklanıyor.

Hackerlar en çok Ethereum'u (altı olay) ve BNB Zincirini (beş olay) hedef aldı. Arbitrium (üç olay) ve Solana'nın her biri Polygon, Optimism ve Conflux Network'te birer istismar olmak üzere iki olayı oldu ve listeyi tamamladı.

Kripto varlıkların değeri arttıkça Immunefi, 2024'ün bugüne kadarki herhangi bir yılın en büyük nominal kayıplarını görebileceğini bekliyor.

Saldırının ardından, Abrakadabra topluluğu Anlaşmazlığına yönelik moderatörler, MIM sahiplerinin endişelerini gidermeye çalışıyorlardı. Kullanıcılar, beklenen 1 $ değerinden genişletilmiş ayrışmanın endişelerinden bahsetti.

Bir üye, ”MIM geçmişte zor durumların şeffaf bir şekilde üstesinden gelebildi, [ve] bu başka bir engel ama ekibin geçmişi göz önüne alındığında alıcıyım" diye yazdı.

Abrakadabra.para ve MIM, kripto ve DeFi alanında tartışmalı olmasa da öne çıkan Daniele Sestagalli tarafından yaratıldı.

Sestagalli ayrıca DeFi protokolleri Harikalar Diyarı ve Buzlu Şeker Finansı'nın arkasındaydı. Ünü, QuadrigaCX ınfamy'den Michael Patryn olarak tanımlanan Harikalar Diyarı ekip üyesi 0xSıfu ile olan ilişkisinden de etkilendi. Ocak 2022'deki vahiy, Çığ üzerine inşa edilen Harikalar Diyarı'nı kaosa sürükledi.

Popsicle Finance, Ağustos 2021'de 20 milyon dolara hacklendi. Proje teknik olarak hala devam ediyor, ancak 2021 zirvelerinden hiçbir zaman toparlanmadı ve daha sonra Hepimiz Başaracağız kripto sloganının kısaltması olan WAGMI olarak yeniden markalandı.

Kaynak: blockworks.co