Ethereum ağında faaliyet gösteren likidite havuzu Balancer hacklendi. Siber akın sonucu 116 milyon doların üzerindeki kripto varlık buharlaştı.
Balancer grubu, pazartesi günü TSİ 11.00 sularında X (eski ismiyle Twitter) üzerinden yaptığı açıklamada, “Balancer v2 havuzlarını etkileyen potansiyel bir istismarın farkındayız. Mühendislik ve güvenlik gruplarımız olayı öncelikli olarak inceliyor” sözlerini kullandı ve yeni bilgiler geldikçe paylaşım yapılacağını belirtti.
Zincir üstü bilgilere nazaran merkeziyetsiz finans (DeFi) protokolü birinci etapta 70,9 milyon dolar kıymetinde likit stake edilmiş Ether (ETH) varlığının üç farklı süreçle yeni bir cüzdana aktarılmasıyla siber atağa uğradı. Kripto tahlil platformu Nansen pazartesi günü yaptığı paylaşımda bu bilgileri doğruladı.
Zararın boyutu gitgide büyüyor
TSİ 11.52 prestijiyle, Lookonchain’in zincir bilgilerine nazaran taarruzun toplam büyüklüğü 116,6 milyon doların üzerine çıktı. Nansen araştırma analisti Nicolai Sondergaard, Cointelegraph’a yaptığı açıklamada akının “akıllı kontratlardaki kusurlu erişim kontrolünden” kaynaklandığını belirterek şunları söyledi: “Saldırganın fon çekme komutu göndermesine müsaade veren bir erişim yanılgısı mevcut üzere görünüyor. Şu anda kayıplar 100 milyon doların üzerinde.”
Balancer takımından ödül teklifi
Balancer takımı, fonları geri almak için beyaz şapkalı hacker’lara çalınan fonların yüzde 20’sine kadarödül teklif etti. Fonların çabucak iade edilmesi durumunda bu teklif geçerli olacak. Şayet fonlar 48 saat içinde iade edilmezse, Balancer grubu blokzincir tahlil uzmanları ve kolluk kuvvetleriyle iş birliği içinde failin tespitine devam edeceğini açıkladı.
Protokolden yapılan zincir üstü bildirimde şu tabirler yer aldı: “Ortaklarımız, altyapımızda toplanan erişim günlüğü metaverileri sayesinde saldırganın kimliğinin tespit edileceğinden epeyce emin. Bu datalar, makul IP adresleriyle zincir üstü süreç vakit damgaları ortasında direkt irtibatlar gösteriyor.”
Balancer daha evvel de maksat olmuştu
İki yıl evvel Balancer, web sitesinin ön yüzüne yönelik bir DNS saldırısına maruz kalmıştı. Saldırganlar, kullanıcıları düzmece akıllı mukaveleler içeren bir phishing (oltalama) sitesine yönlendirmişti. Blokzincir araştırmacısı ZachXBT kelam konusu olayda yaklaşık 238 bin dolar kıymetinde dijital varlığın çalındığını açıklamıştı.
Ayrıca Ağustos 2023’te protokol birtakım likidite havuzlarında “kritik bir güvenlik açığı” bulunduğunu duyurmasından yalnızca bir hafta sonra yaklaşık 1 milyon dolarlık kaybın yaşandığı stablecoin saldırısı gerçekleşmişti.
Merkeziyetsiz finans protokolü 2020’nin haziran ayındaysa Statera (STA)’ya dayalı bir flash loan (ani kredi) hücumunda 500 bin dolar pahasında Ether ve öbür tokenlarını kaybetmişti.
