Merkeziyetsiz finans (DeFi) dünyası, 19 Nisan’da biz krizle daha karşı karşıya kaldı. dForce ağının parçası Çinli kredi platformu Lendf.me, neredeyse tüm fonlarını kaybetti.
Siber saldırı, saldırganlar protokolün kurucularıyla pazarlık yaptığı için diğerlerinden ayrılıyor.
Saldırı, 19 Nisan’da Çin zamanıyla sabah 8:45’te gerçekleşti. Saldırgan, ERC-777 token standardında bilindik bir zafiyeti istismar ederek yeniden giriş saldırısı düzenledi.
Saldırı nasıl gerçekleşti?
Saldırgan, imBTC token’ı saldırının truva atı olarak kullandı. Token, Bitcoin (BTC) için ERC-77 özelliğine göre yazılan Ethereum (ETH) sargılarından birini teşkil ediyor. Bu, sıradan ERC-20 standardının daha gelişmiş fakat aynı zamanda, özellikle de DeFi bağlamında, daha zayıf bir versiyonu olarak görülüyor.
Saldırgan, bu zafiyeti Lendf.me’nin sözleşmelerindeki ve kullanıcı bakiyelerini güncelleme yöntemlerindeki kritik bir hata ile birleştirerek istismar etti.
Frank Topbottom takma adlı bir analist, Twitter üzerinde saldırganın basit saldırıları birçok kez tekrar ettiğini açıkladı.
Saldırgan, her bir işlemde Lendf.me platformuna kendi hesap bakiyesine işlenen imBTC’ler yatırdı. İkinci yatırma işlemlerinde önemsiz miktarda imBTC yatırılıyordu ve böylece, daha önce yatırılan token’ları çekmek için ”yeniden giriş” kullanılabiliyordu.
Ne var ki sözleşme, saldırgan para çektiğinde bakiyeyi güncellemedi. Saldırgan da böylece tekrar yatırma işlemi yaparak, her seferinde bakiyesini ikiye katladı.
Saldırgan, nihayetinde platformdaki 291 imBTC’ye denk gelen (2 milyon dolar) tüm birikimi çekti.
Aynı faaliyete devam eden saldırgan, bir süre sonra hesap bakiyesini protokolde tutulan tüm fonları içerecek hale getirdi.
Saldırgan, son olarak sahte bakiyeyi Lendf.me platformunda mevcut her bir token’ı kredi almak için teminat olarak kullandı ve 25 milyon dolar değerinde kripto para ve stablecoin’i alıp götürdü.
Kendini ele verdi
Saldırının kısa bir süre ardından, zincir dahilinde ilginç bazı mesajlaşmalar gerçekleşti.
Saldırgan, 250 bin dolar değerinde üç PAX işlemini 1.inch.exchange, ParaSwap ve ”Lendf.me admin” adlı bir hesaba gönderdi. Bu, pax Latince’de ”barış” anlamına geldiği için muhtemelen sembolik bir hareketi temsil ediyor.
Lendf.me, iletişim için bir e-posta adresiyle yanıt verdi ve saldırganın sorusuna yanıt verdiğinin sinyallerini verdi. Saldırgan, daha sonra Huobi’nin oluşturduğu yaklaşık 2,6 milyon dolar değerinde varlıkları Lendf.me’ye geri gönderdi.
Lendf.me, daha sonra tehditkar bir dille son mesajını gönderdi: ”Daha iyi bir gelecek için bizimle iletişime geçin.”
1inch.exchange sözcüsü, Cointelegraph’a yaptığı açıklamada saldırganın IPFS tabanlı önyüz yerine doğrudan web tabanlı içerik teslim ağı kullanarak kendiyle ilgili üstverileri sızdırdığını açıkladı.
Üç borsa da tek bir Çin merkezli IP adresinden talep aldı, yani saldırgan Tor gibi merkeziyetsiz bir ağ kullanmadı.
Ayrıca saldırganın bir Mac kullandığı da biliniyor.
Bu makale ilk olarak tr.cointelegraph.com üzerinde yaynlanmıştır