Bir Hacker, DeFi Protokollerinden Olan Agave ve Hundred Finance_ten Nasıl 11 Milyon Doları Ele Geçirdi?

Blok zinciri ağındaki merkezi olmayan finans (DeFi), güvenli ve daha hızlı işlemlerin sağlanmasına yardımcı olur.

DeFi platformlarının sayısız avantajı olsa da saldırıya açıktırlar. Bu saldırılar meydana geldiğinde, büyük miktarlarda kayıplara ve önemli işlemlerin aksamasına neden olurlar.

DeFi protokolüne yapılan son saldırılardan biri 11 milyon dolarlık zarara yol açtı.

Saldırı, Agave ve Hundred Finance blok zincirinde gerçekleştirildi.

Bilgisayar korsanları, yeniden girişli bir saldırı biçimi başlattı.

Yeniden giriş korsanlığı, bir bilgisayar korsanının güvenilmeyen bir sözleşmeye doğrudan ancak harici bir çağrı yapmak için bir protokolün sözleşmesini kandırmasına olanak tanır.

Hem Agave hem de Hundred Finance, Merkezi olmayan blok zinciri protokolleri olarak, geri aramalarla tokenleri engelleyemedi ve saldırı başarılı oldu.


Merkezi olmayan protokoller, daha hızlı işlemler ve doğrulama sağlamak için blok zinciri ağından yararlanmaya devam etmekte. Bunun yanı sıra, Merkezi Olmayan Finans platformları yatırım, uluslararası işlemler ve değişim araçları için en iyi seçenek olma fırsatı da sunmakta.

DeFi protokolleri ve tüm blok zinciri uygulamaları (genel olarak) saldırıya açıktır. Çeşitli konumlardaki büyük yatırımlar ve muazzam işlemler nedeniyle, bu uygulamalar saldırılara ve yetkisiz erişime açıktır.

Blok zinciri geliştiricilerinin güvenlik mimarisini sürekli güncellemek ve işlemlerin kapsamlı bir şekilde doğrulanmasını sağlamak için tüm çabalarına rağmen, bilgisayar korsanları hala bazı yollar keşfetmeye devam ediyor.

Yakın tarihli bir saldırı, bilgisayar korsanlarının Agave ve Hundred Finance'ten 11 milyon doları aşan bir parayı çaldıkları zaman meydana geldi.

Bu makale, saldırının ve blok zinciri platformunu nasıl etkilediğinin daha kesin ayrıntılarını verecektir.

Saldırının nasıl başlatıldığına geçmeden önce Agave ve Hundred Finance'i tanımlayalım.

Agave Nedir?

Agave, birkaç yan kuruluşu olan büyük bir markadır ve bunlardan biri blok zinciri platformu ve kripto para birimidir. Agave'nin kripto pazarındaki simgesi ise AgaveCoin'dir (AGVE).

Agave, Merkezi Olmayan Otonom Organizasyon (DAO) protokolü tarafından yürütülen bir blok zinciridir.

Bu blockchain platformu, mevduat sahiplerini pasif gelirle ödüllendirir. Mevduat sahipleri mevduatlarını borç teminatı olarak kullanabilir ve dijital varlıkları ödünç verebilirler.Madeni para, endüstri oyuncularının ve paydaşların katılmasına ve yatırım yapmasına izin verecek %100 yardımcı tokendir.

AgaveCoin, ticaret, ödemeler ve tarım ürünleri işlemlerini mümkün kılacak Merkezi Olmayan bir finans protokolüdür.

Bir AGVE tokeni sahibi olarak, stratejiyi yönlendirmek ve kararlar almak için oy verme yetkisine sahip olursunuz.

Agave, Gnosis zinciri, Ethereum katman 2 (EVM yan zinciri) üzerine inşa edilmiştir.

AGVE, Agave endüstrisinin tüm üretim zincirlerinde Tarımsal hizmetlerin satın alınmasına ve işlenmesine izin verdiği için benzersiz bir tokendir.

Agave, blok zinciri ağından yararlanan velayetsiz bir para ve borç verme protokolüdür.


Hundred Finance Nedir?

Hundred Finance, blok zincirindeki bir başka Merkezi Olmayan Finans (DeFi) uygulamasıdır.

Hundred Finance, kripto para birimleri ödünç vermenize ve ödünç almanıza izin veren bir Merkezi Olmayan Uygulamadır (dApp).

Bu blockchain uygulaması, işlemler ve alım satım için kripto para birimi tokeni olan HND tokenine sahiptir. HND üzerindeki faiz oranı, token başına Yıllık Yüzde Getiri (APY) olarak hesaplanır.

Hundred Finance, Chain Link oracles ile entegre olan çok zincirli bir protokoldür. Bilgi, uzun vadeli varlıklara hizmet etmede uzmanlaşma ile piyasa sağlığını ve istikrarını sağlar.

Hundred Finance, Percent Finance'ın halefidir.

Hundred Finance, blockchain teknolojisine girmesinden bu yana Chainlink Oracle, Beethoven, Immunefi, Spookywap ve diğerleri ile iş birliği yaptı.

AGVE ve HND'yi blok zinciri uygulamaları ve kripto tokenleri olarak biraz anlattıktan sonra, her iki blok zinciri platformunda 11 milyon dolarlık kaybı yaşatan saldırıya geçelim.


Agave ve Hundred Finance Saldırısı

Agave ve Hundred Finance adminleri, ilgili cüzdanlarının saldırıya uğradığını tweetlediğinde, kripto para borsası çılgına döndü.

Bilgisayar korsanlarının Wrapped ETH (wETH), Wrapped BTC (wBTC), chain link (LINK), USD Coin (USDC), Gnosis (GNO) ve Wrapped XDAI ( wxDAI) olarak yaklaşık 11 milyon dolar ele geçirdiğini bildirildi.

Saldırı hem Agave hem de Hundred Finance'e yeniden giriş saldırısı (reentrancy attack) olarak adlandırılan saldırı yöntemiydi.

Yeniden giriş saldırısı, sağlamlık programlama dili zayıflığı üzerine yapılmktadır. Bu güvenlik açığı, bir bilgisayar korsanının, güvenilmeyen bir sözleşmeye doğrudan ancak harici bir çağrı yapmak için bir protokolün sözleşmesini kandırmasına olanak tanır.

(Gerçek) çağrı bir kez yapılır; bundan sonra, bilgisayar korsanı, benzer bir düzende tekrarlanan çağrılar yapmak için şüpheli sözleşmeyi kullanacak ve protokol fonlarını etkisiz hale getirecektir.

Agave ve Hundred Finance'e yönelik saldırıda, bilgisayar korsanının her iki blockchain uygulamasında da bir yeniden giriş hatası başlattığını gösterdi.

Sistemdeki bu hata anında bir hızlı kredi kullanımına izin verdi. Model aynı olduğu için, hata, bilgisayar korsanlarının protokollerden ödünç almaya devam etmesine izin verdi.

Ayrıca, bilgisayar korsanı ek teminat göstermeden sürekli para çekme çağrıları yapıyordu. Soruşturma sonunda, bilgisayar korsanının adresinin bir kripto para aklayıcısına toplamda yaklaşık 5.5 milyon dolar tutarında 2.100'den fazla ETH gönderdiğini gösterdi.

Uzmanlar, saldırıya birkaç nedenin yol açmış olabileceğine inanıyorlardı. Bazıları şunlardır;


Saldırının Başarı Nedenleri

Saldırının başarısının nedenleri nispeten basit ve tespit edilmesi kolaydı. Agave geliştiricileri, platformundaki işlemler için geri çağrı tokenlerı kullanılmasını mümkün kılmıştı.

Gnosis'teki resmi köprülü coinler (official bridged coins) standart değildir. Bu tokenlerin, token alıcısını her aktarımda bilgilendiren bir düzeneği vardır ve bilgisayar korsanları her zaman bu bildirimi alabilir ve hemen harekete geçebilir haldedir.


Sonuç

Görünen o ki Agave ve Hundred Finance'e yapılan saldırı ilk değil ve son da olmayacak.

Agave ve Hundred Finance yeniden giriş saldırısından kısa bir süre önce, benzer bir DeFi uygulaması olan Cream Finance, bir flashback kredi yeniden giriş saldırısına tanık oldu. Cream Finance'e yapılan saldırı, yaklaşık 19 milyon dolarlık bir zarara yol açtı. Bun tarz saldırıların etkisi her zaman muazzam sevidedir. Agave saldırıyı duyurduğunda, piyasa fiyatı %25, Hundred Finance ise %5,8 düştü. Olaylar talihsiz olsa da bu durum geliştiricilerin yeniden giriş korumasını yükseltmeleri gerekliliğini bir kez daha gözler önüne serdi. Geliştiriciler, yapılacak işlemler için geri aramalarla tokenleri önlemek için yönetişim protokolünü değiştirmelidir.

Yazar: Valentine A., Gate.io Araştırmacı Çevirmen: Baturalp BALCI

Bu yazı sadece araştırmacının görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.

Gate.io, bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Her durumda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.