Merkezsiz finans (DeFi) protokolü Origin, pazartesi gecesi geç saatlerde bir hack saldırısına uğradı. Protokolün yaklaşık 7 milyon dolar değerinde fon kaybettiği açıklandı.
DeFi protokolü Origin, 7 milyon doların üzerinde kayıp bildirdi
Çalınan miktar kullanıcı fonlarının yanı sıra Origin kurucuları ve çalışanlarının 1 milyon dolarlık mevduatını da içeriyor. Saldırgan, Origin Protokolü’nün Origin Dollar (OUSD) kasasını kullandı ve stabilcoinlerinin çoğunu tüketti. OUSD, Origin’in diğer üç stabilcoin tarafından desteklenen yerel stabilcoini olarak işlem görüyor.
Bu açıktan yararlanma girişimi, saldırganın en az 7.137 ETH (yaklaşık 3,3 milyon dolar) ve 2,25 milyon DAI (yaklaşık 2,25 milyon dolar) çalmasıyla sonuçlandı. Peki fonlar OUSD kasasından saldırganın cüzdanlarına nasıl taşındı?
Saldırı nasıl gerçekleşti?
Origin’in kurucu ortağı Matthew Liu, Origin’in akıllı sözleşmelerindeki bir “yeniden giriş hatasının” saldırıyı mümkün kıldığını söyledi. Bu tür hatalar, saldırganların yeniden giriş yoluyla uygun olduklarından daha fazla fonu bir sözleşmeden çekmelerine izin verebiliyor.
Liu yaptığı açıklamada şu sözleri kullandı:
Saldırgan, sahte bir ‘stabilcoin’ geçirmek için eksik doğrulama kontrolünden yararlandı. Bu ‘stabilcoin’ daha sonra kasa tarafından ‘transferFrom’ olarak adlandırıldı ve hacker’ın bir yeniden giriş saldırısıyla sözleşmeden yararlanmasına izin verdi.
Liu, saldırganın daha sonra Uniswap ve SushiSwap’te OUSD’leri USDT karşılığında sattığını söyledi. Liu ayrıca, saldırganların kripto karıştırma hizmeti Tornado Cash’i kullandıklarını ve “fonları yıkamak ve taşımak için” bitcoin renBTC’yi paketlediklerini belirtti..
Saldırı analiz edildi, bulgular şaşırtıcı
“Frank Topbottom” adıyla anılan kripto araştırmacısı, saldırıyı detaylı bir şekilde analiz etti ve süreçte flash kredi kullanıldığını söyledi. Saldırgan, merkezsiz borsa dYdX’ten 70.000 ETH’lik bir flash kredi aldı ve bu ETH’leri Uniswap’ta USDT ve DAI ile değiştirdi. Daha sonra Origin’in sözleşmesini geri aldılar ve USDT ile fazladan OUSD bastılar.
Topbottom, The Block’a saldırganın kullandığı kötü niyetli sözleşmenin bir “transferFrom ()” işlevine sahip olduğunu söyledi. Bu işlev, saldırgana sözleşmeyi belirteç olarak kullanma yeteneği verdi.
TransferFrom () işlevinin çağrılması sırasında, ikinci bir mint () işlevi çağrısı yapıldı. Mint () işlevi, başka bir mint () işlevinin [mintMultiple ()] yürütülmesi içinde gerçekleşti. Bu da saldırganın ek geri ödemeye neden olmasına ve OUSD arzını artırmasına izin verdi.
Ekstra OUSD coin’ler daha sonra Uniswap ve SushiSwap’te ETH ve DAI ile takas edildi. Topbottom’a göre, saldırgan 11.804 ETH ve 2.249.821 DAI şeklinde yaklaşık 7,7 milyon doları cebe indirmeyi başardı.
Soruşturma sürüyor
Origin şu anda saldırıyı ayrıntılı olarak analiz ediyor ve yakında daha fazla güncelleme yayımlaması bekleniyor. Bu arada Liu, mevcut fiyatlar stablecoin’in temel varlıklarını yansıtmadığı için kullanıcıları Uniswap veya SushiSwap üzerinden OUSD satın almamaya çağırdı. Uniswap’e göre OUSD şu anda 0 dolara yakın değerde ve likiditesi yok.
OUSD, bir tasarruf hesabı gibi çalışmak üzere bu eylül ayında Origin tarafından başlatıldı. Menşei, 2017’de 3 milyon dolarlık turunu yöneten girişim şirketi Pantera Capital tarafından destekleniyor.
Binance komisyon indirimlerini %20’ye çıkarttık!
Binance borsasında yüzde 20 komisyon indirimi kazanabileceğiniz bir hesap açmak için tıklayın!
En güncel haberlerimizi Telegram kanalımızdan, Instagram hesabımızdan, Facebook sayfamızdan ve Twitter hesabımızdan takip edebilirsiniz.
Yazı içeriğindeki bilgiler tamamen bilgilendirme amaçlıdır. Herhangi bir yatırım tavsiyesi niteliği taşımaz. Yaptığınız yatırımlardan kaynaklı kâr ya da zararınızdan yazar ve kriptoparahaber.com sorumlu değildir. Yatırım nihayetinde bilgi, birikim, tecrübe, araştırma ve şahsi kararlar gibi birçok temele dayanır.
