StakeDAO’nun Arbitrum üzerindeki altyapısında yaşanan bir güvenlik olayı, araştırmacıların vsdCRV sözleşmesiyle bağlantılı anormal zincir üstü hareketleri tespit etmesiyle gündeme geldi.
Söz konusu açık, muhtemelen sonsuz token basımına izin veren bir zafiyete dayanıyor. Bu durum, yaklaşık 5,4 trilyon adet sentetik staking token’ının (vsdCRV) oluşturulmasına yol açmış olabilir.
İlk incelemelere göre, olay sırasında yaklaşık 91.000 dolarlık varlık sistemden çekildi.
Anormal hareketlilik, Curve tabanlı likidite pozisyonlarına bağlı staking türevlerinde olağandışı zincir üstü işlemlerle fark edildi. Token hareketlerinin beklenen ödül dağıtım desenleriyle uyuşmaması, sözleşme mimarisinin detaylı şekilde incelenmesine neden oldu.
VsdCRV Basımı ve Kasası Merkezde
Etkilenen sistem, Curve Finance pozisyonlarına bağlı bir likit staking türevi olan StakeDAO’nun vsdCRV mekanizması. Bu yapıda kullanıcılar, CRV veya CRV bağlantılı varlıklarını yatırarak, staking gücü ve ödüllerini temsil eden vsdCRV token’ları alıyor.
Zincir üstü analizlere göre, Arbitrum’da dağıtılan sözleşmenin token basımı ve muhasebe çerçevesindeki bir zafiyet, protokolün token arzını doğru şekilde sınırlandıramamasına yol açtı. Araştırmacılar, bu açığın “sonsuz basım” senaryosuna neden olduğunu ve protokolün token ihraç koşullarını yeterince kısıtlayamadığını düşünüyor.
Bu tür açıklar, arz hesaplamalarının pay bakiyeleri veya ödül endeksleri gibi manipüle edilebilen değişkenlere bağlı olduğu durumlarda ortaya çıkabiliyor. Bu olayda saldırganın, vsdCRV arzını ciddi şekilde şişirerek yaklaşık 5,4 trilyon token basımına yol açtığı tahmin ediliyor.
Şişirilen bakiye oluşturulduktan sonra, bu miktarın kasadan değer çekmek veya protokolün ödül dağıtım sürecini bozmak için kullanıldığı değerlendiriliyor.
Olayın, özel anahtar sızıntısı veya cüzdan düzeyinde bir saldırı ile bağlantılı olmadığı belirtiliyor. İlk analizler, akıllı sözleşmenin iç muhasebe sisteminde, belirli işlem durumlarında basım koşullarının hatalı şekilde doğrulandığına işaret ediyor.
Varlık Çıkışları ve Devam Eden İzleme
Token arzındaki şişkinliğe ek olarak, zincir üstü hareketlilik yaklaşık 91.000 dolarlık varlığın ilgili pozisyonlardan çıkarıldığını gösteriyor. Bu çıkışlar, saldırganın manipüle edilen vsdCRV bakiyesini transfer edilebilir değere dönüştürdüğünü ortaya koyuyor.
Açık, faaliyetler devam ederken tespit edildi ve araştırmacılar sözleşme etkileşimlerini gerçek zamanlı olarak izlemeyi sürdürüyor. Olayın kapsamı ve etkileriyle ilgili incelemeler devam ediyor.
Aktivitenin Arbitrum üzerinde yoğunlaştığı, StakeDAO’nun burada Curve tabanlı likidite altyapısıyla etkileşimde bulunduğu belirtiliyor. Staking türevleri ve otomatik ödül sistemlerinin birleşimi, işlemler DeFi likidite havuzlarında devam ederken olayın etkisinin hızlıca izole edilmesini zorlaştırıyor.
İlk Bulgular: Muhasebe Hatası
İlk bulgular, temel sorunun sözleşmenin vsdCRV basım haklarını nasıl hesapladığında yattığını gösteriyor. Bu tür sistemlerde basım genellikle yatırılan varlıklar ile verilen paylar arasındaki orana bağlı olarak gerçekleşiyor.
Eğer bu oran, uç durum etkileşimleri veya hatalı durum güncellemeleriyle manipüle edilebiliyorsa, orantısız token basımına kapı aralanabiliyor. Saldırgan açığı tetiklediğinde, sözleşme geçersiz bir durum geçişini kabul ederek aşırı token üretimine izin vermiş görünüyor.
Şişirilen bakiye, kasanın kullandığı iç muhasebe çerçevesini de bozdu. Bu tür açıklar, özellikle pay tabanlı muhasebe modellerine sıkı kurallar getirmeyen merkeziyetsiz finans protokollerinde sıkça görülüyor. Gerekli güvenlik önlemleri başarısız olduğunda, sistem yapay olarak üretilen token’ları geçerli staking gücü olarak değerlendirebiliyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: tradingview.com
