12 Kasım Perşembe günü, kullanıcıların mevduatlarla ilgilenmelerine ve borçlanmadan faiz kazanmalarına olanak sağlayan DeFi platformu Akropolis; yaklaşık 2 milyon dolarlık çalıntı fonla sonuçlanan istismara kurban gitti. Henüz kim olduğu tanımlanmamış saldırgan, Akropolis akıllı sözleşmesindeki bir kusur sayesinde flaş kredi çekerek Akropolis’i istismar etti.
Saldırgan; Akropolis’in YCurve’ini, yaklaşık 2 milyon dolar değerindeki stabilcoin DAI’yı ve sUSD havuzlarını boşaltarak işine devam etti. Çalınan fonlar şu anda “Akropolis korsanlarının cüzdanı” olarak işaretlenmiş bir cüzdanda bulunuyor.
Peki Nasıl Gerçekleşti?
Akropolis’in otopsi raporuna göre;
- Bilgisayar korsanı ilk olarak fonları ödünç almak adına bir flash kredi oluşturdu. Bunun ardından sahte bir jetona SavingsModule.deposit adını verdi (kendi sözleşmesi 0xe2307837524db8961c4541f943598654240bd62f).
- Bu sahte jetonun “transferFrom” sırasında, DyDx’ten ödünç alınan gerçek 800k DAI ile başka bir para yatırma işlemi oluşturuldu.
- İlk para yatırma sırasında havuzun dengesi artı ve sonuç olarak PoolTokens’larımız iki kez basıldı (madenden çıkarıldı).
- Bu şekilde asıl olan miktardan 2 katı daha fazla çekmeyi başardı.
Akropolis istismar konusunda benzersiz olan şey; bu alandaki diğer DeFi projelerinin aksine Akropolis’in iki kez bağımsız olarak denetlendiğini söylemesidir. Akropolis’in kurucusu ve CEO’su Ana Andrianova; bu saldırının oluşması için kullanılan iki saldırı vektörünün denetim yapılırken gözden kaçırıldığını dile getiriyor.
Saldırının gerçekleşmesinden kısa bir süre sonra Akropolis;
- Tüm parasal havuzlarında ticareti durdurdu.
- İstismar ile ilgili dijital para borsalarına haber verdi.
- Geliştirme ekiplerini ve güvenlik uzmanlarını, böyle bir açığı kapatmaları adına çalışmaya koydu.
DeFi Kayıp Sayısı Artışa Geçti
2020 yılında birçok DeFi istismarı gerçekleşti. Blok zinciri analitik firması olan CipherTrace’e göre; DeFi ile ilgili hırsızlıklar ve hackelemeler yükselirken, dijital para birimi suçları da azalma gösteriyor.
Konu DeFi olduğunda; yatırım yapmadan önce dikkatli olmalı ve kapsamlı bir araştırma yapmalısınız. DeFi ekosistemi daha çok tazedir ve bu durum da keşfedilmemiş birkaç saldırı vektörü ve saldırıların istismar edilmeyi beklediği anlamına gelir. Birden fazla DeFi projesi, yaralanmalara hakaret etmek için kod denetiminde bulunmaz. Aynı zamanda projelerini güvensiz altyapıya sahip bir şekilde başlatmaz. Akropolis istismar girişiminde de gördüğümüz gibi proje kodunu denetlese dahi kurşun geçirmez bir sistem olduğu garanti edilemez.