Son güncelleme: 3 hafta önce
DeFi projeleri Rari Capital ve Fei Protokol, birleşmelerinden beş ay sonra Cumartesi günü 77 milyon dolarlık bir saldırıya uğradıklarını açıkladılar.
Fei Protokol’ün Twitter hesabından yapılan açıklamada, ortakları Rari Capital’e ait birden fazla havuzu hedef alan bir saldırının farkında oldukları belirtildi. Tweet daha sonra, Fei’nin kurucusu Joey Santoro tarafından projenin Discord sunucusunda paylaşılan ayrı bir gönderi ile doğrulandı.
Uygulamamızı indirin, gelişmelerden ilk sizin haberiniz olsun!
We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.
To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.
— Fei Protocol (@feiprotocol) April 30, 2022
Tweetin devamında, saldırıya neden olan sorunun kök nedenini tespit ettiklerini ve daha fazla fonun çalınmasını engellemek için havuzlardaki tüm borçlanma aktivitelerini durdurduklarını belirttiler. Ayrıca saldırıyı gerçekleştirenlere hitaben, “Lütfen 10 milyon dolar ödülü kabul edin. Tüm fonları geri verirseniz herhangi bir soru da sormayacağız” denildi.
Bu arada, saldırıyı gerçekleştiren hacker ya da hackerlar, çaldığı kripto paraları, kullanıcıların işlemleri maskelemelerine izin veren bir hizmet olan Tornado Cash’e taşımaya başladı bile. Etherscan verilerine göre, şu ana kadar yaklaşık 15 milyon dolar değerinde yaklaşık 5.400 Ethereum Tornado Cash’e transfer edilmiş gözüküyor.
Tornado Cash nasıl çalışır?
Tornado Cash gizliliği korumak için zkSnark teknolojisini kullanır. Tornado Cash, kaynak ve hedef adresler arasındaki bağlantıyı keserek çalışır. Örneğin elinizdeki 1 Ethereum’u A adresinden Tornado Cash’e gönderirsiniz, daha sonra bu tutarı çektiğinizde B adresine çekersiniz ancak ilgili paranın A’dan B’ye gittiğine dair ortada hiç bir kanıt kalmaz.
Gizliliği sağlamak için Tornado.Cash, bir adresten gelen tokenleri kabul eden ve farklı bir adresten çekilmelerini sağlayan akıllı sözleşmeler kullanır. Bu akıllı sözleşmeler, yatırılan tüm varlıkları karıştıran havuzlar olarak çalışır.
Fonlar, bu havuzlardan tamamen yeni bir adres tarafından çekildiğinde, kaynak ve hedef arasındaki zincir üstü bağlantı kopar. Geri çekilen kripto varlıkları bu nedenle anonimleştirilir. Tokenler bir Tornado Cash havuzundayken, “sahiplik” kullanıcıların elindedir. Bu nedenle, kullanıcılar tokenleri üzerinde tam kontrole sahiptir.
Fei Protokol ve Rari Capital ne işe yarar?
Fei Protokolü, merkezi olmayan özerk kuruluşlar veya diğer adıyla DAO’lar tarafından kolayca kullanılabilsin diye, ABD dolarının değerine sabitlenmiş algoritmik bir stablecoin oluşturmaya odaklanan bir proje. Rari Capital ise, yatırımcıların Fuse adı verilen izinsiz (permissionless) bir faiz oranı protokolü aracılığıyla yüksek getirileri borç vermelerine, ödünç almalarına ve “yield” etmelerine olanak tanır.
Fei Protokol kurucusu Discord’ta yaptığı açıklamada, hacker ya da hackerların Fuse havuzlarındaki “reentrancy” adlı açığı kullandıklarını ve daha fazla analizin ardından ayrıntılı bir rapor yayınlayacaklarını duyurdu.
Reentrancy açığı nedir?
DeFi projelerinde her bir protokol aslında bir akıllı sözleşmedir. Ve bu akıllı sözleşmeler dış (external) bir akıllı sözleşmeyi çağırdığında ve bu dış sözleşmeden geri dönen cevapla açık istismar edildiğinde reentrancy adını verdiğimiz saldırı meydana gelir. Bu tür saldırıların en iyi bilinen örneklerinden biri, Ethereum blok zincirinin kendisini ikiye ayırmasına neden olan ve Ethereum Classic’in doğmasına sebep olan 2016 yılındaki DAO saldırısıdır. Bu yüzden akıllı sözleşmelerdeki external call’lar (dış bir akıllı sözleşmeye yapılan sorgu) her zaman riskli addedilir.