StakeDAO ekosistemine bağlı bir deployer anahtarının ele geçirilmesinin ardından, bir saldırgan Arbitrum üzerinde 5,4 trilyonun üzerinde vsdCRV basmayı başardı. Ancak, likiditenin son derece sınırlı olması nedeniyle saldırganın elde ettiği gerçek kazanç yaklaşık 91.000 dolar ile sınırlı kaldı.
Blok zinciri güvenlik şirketi PeckShield, saldırganın bastığı vsdCRV’nin bir kısmını yaklaşık 91.000 dolar değerinde 43,7 Ethereum (ETH) ile takas ettiğini ve bu varlıkları Ethereum ağına aktardığını açıkladı. Zincir üstü analiz platformu EmberCN ise saldırganın yaklaşık 16,83 milyon vsdCRV takas ettiğini, kalan token’ların ise anlamlı bir likiditeye sahip olmadığı için elden çıkarılamadığını belirtti.
EmberCN, toplamda basılan 5,4 trilyon vsdCRV’nin kağıt üzerinde yaklaşık 763 milyar dolar değerinde olduğunu, ancak bu rakamın saldırganın gerçek kazancını veya protokolün kesin zararını yansıtmadığını vurguladı.
Bu olay, merkeziyetsiz finans protokollerinde nominal token değerleri ile gerçek anlamda nakde çevrilebilen miktar arasındaki farkı bir kez daha gözler önüne seriyor. Saldırganlar, büyük miktarda token basabilse de, yalnızca mevcut likidite kadarını nakde çevirebiliyor. Bu vakada da vsdCRV likidite havuzlarının küçük olması, saldırganın kazancını ciddi şekilde sınırladı.
StakeDAO, olaydan haberdar olduğunu ve kullanıcılarını vsdCRV ile etkileşime girmemeleri konusunda uyardı.
Olayın Kaynağı: Deployer Anahtarının Ele Geçirilmesi
Kripto anahtar yönetimi şirketi Sodot’un ürün sorumlusu ve kurucu ortağı Shalev Keren, Cointelegraph’a yaptığı açıklamada, StakeDAO’daki bu olayın, yıl içinde yaşanan diğer deployer anahtarı ele geçirme vakalarına yapısal olarak benzediğini belirtti. Keren, geçen ay yaklaşık 5,5 milyon dolarlık kripto varlığın çalındığı Wasabi olayını da buna örnek gösterdi.
Keren’e göre, Arbitrum üzerindeki tek bir StakeDAO deployer anahtarı kullanılarak vsdCRV’nin zincirler arası köprü yapılandırması saldırganın kontrolündeki bir Ethereum kontratına yönlendirildi. Yaklaşık 25 saniye sonra, bu kontrat Arbitrum’a LayerZero üzerinden bir mesaj gönderdi ve meşru Arbitrum token’ı saldırgana 5 trilyonun üzerinde vsdCRV basılmasına neden oldu.
Keren, olayda herhangi bir akıllı sözleşme hatası veya LayerZero tarafında bir açık olmadığını, tek bir özel anahtarın ayrıcalıklı bir yapılandırma fonksiyonunu kontrol ettiğini ve çoklu imza veya yapılandırma değişikliği ile mint işlemi arasında herhangi bir gecikme mekanizması bulunmadığını vurguladı.
Keren, merkeziyetsiz finans protokolleri için asıl sorunun artık yalnızca akıllı sözleşmelerin denetlenip denetlenmediği değil, bu sözleşmelerin arkasındaki operasyonel anahtarların tek hata noktası olarak kalıp kalmadığı olduğunu ifade etti.
Bu içerik hazırlanırken faydalanılan kaynaklar: tradingview.com
