Kripto dünyasında yeni bir hack vakası yaşandı. Altcoin Resupply protokolü, fiyat manipülasyonuna dayalı bir saldırı sonucunda yaklaşık 9,5 milyon dolarlık zarar bildirdi. Yazılım açıklarından yararlanan saldırgan, sistemin varlık fiyatındaki güvenli kontrol mekanizmasını atlatarak büyük miktarda fonu ele geçirdi ve bu olay, DeFi projeleri için bir kez daha güvenlik önlemlerinin önemini gündeme getirdi.
Fiyat Şişirmeyle Planlanan Saldırı
Olay, cvcrvUSD isimli varlığın değeriyle oynanarak gerçekleşti. Saldırgan, bu token’ın kasasına bağışlar yaparak fiyatını gerçek değerinin çok üstüne çıkardı. Böylelikle sistem, yapay olarak yüksek olan fiyatı gerçekmiş gibi algılayıp, saldırgana bir wei kadar düşük bir teminat karşılığında 10 milyon reUSD borç verdi. Böyle bir durumda, normalde düşük değerli varlık yanlışlıkla devasa teminat olarak kabul edilebiliyor.
PeckShield güvenlik firmasının açıkladığı rapora göre,
Saldırgan bağış yöntemiyle fiyatı yükseltti; bu da, borç verme modelinin saldırgan lehine işlemesine neden oldu.
Sistem, fiyat verisini tek bir oracle’dan alıyordu ve bu da manipülasyonun önünü açtı.
Sözleşme Açığı ve Sistemsel Zafiyetler
Analizler, Resupply’ın kullandığı borç verme sözleşmesinin fiyat bilgisini yeterince güvenli kaynaklardan kontrol etmemesinin temel sorun olduğunu ortaya koydu. Birden fazla fiyat kaynağından alınan doğrulamalar veya üst limit kontrollerinin olmaması, bu tür saldırıların önünü açıyor. Uzmanlar gelecekte benzer risklerin yaşanmaması için oracle çeşitliliği ve ilave güvenlik katmanlarının gerekliliğine işaret ediyorlar.
Sözleşmenin çökmesiyle birlikte Resupply ekibi, saldırıdan etkilenen modüllerin geçici olarak durdurulduğunu belirtti.
Protokol ekibi, etkilenen kullanıcılara yönelik telafi planının kısa süre içinde açıklanacağını duyurdu.
Saldırı sonrası piyasada kısa süreli bir oynaklık gözlendi. reUSD tokenları çeşitli borsalarda işlem görerek takip edilmesi güç hale geldi. Bu, zararın tespit ve telafisini daha da zorlaştırıyor. Güvenlik analistleri ise zincirüstü dondurma gibi ekstra adımların gündeme alınabileceğini belirttiler.
Yaşanan olay, özellikle DeFi projelerinde tekil oracle kullanımının yaratabileceği sistemsel riskleri tekrar gözler önüne serdi. Kullanıcılar, platformun yeterli güvenlik önlemlerine sahip olup olmadığını sorgulamaya başladı.
Olayın ardından, hem projeler hem de yatırımcılar daha sıkı önlemler alınmasının gerekliliğini tartışıyor. Güvensiz veya yetersiz doğrulanan fiyat akışının, büyük maddi kayıplara yol açabileceği bu saldırıyla bir kez daha kanıtlanmış oldu.
