PeckShield Alert verilerine göre, bilinmeyen bir Madenci Çıkarılabilir Değer (MEV) botu bir hack’in kurbanı oldu ve yaklaşık 2 milyon dolarlık bir kayba neden oldu.
Ünlü eğri havuzlarında meydana gelen olay, çok sayıda büyük takasa ve ardından ters takas arbitrajına yol açtı.
Saldırgan Eğri Havuzunu Yönetiyor
Bu istismar, arbitraj işlevi 0xf6ebebbb()’nin uygun kimlik doğrulamasından yoksun olması ve saldırganın birden fazla eğri havuzundaki takasları manipüle etmesi için açık bir kapı sağlaması durumunda meydana geldi. Bu kötü niyetli etkinlik, önemli miktarda kaymaya neden oldu ve etkilenen taraflar için önemli kayıplara neden oldu.
MEV Bilinmeyen bir MEV botu, birden fazla büyük takas yapmak için (2 milyon dolar zararla) istismar edildi eğri havuzlar, basit ters takaslarla arb’ye neden olur.
Durum ortaya çıktıkça saldırgan, karını en üst düzeye çıkarmak için takasları kurnazca tersine çevirdi ve bu olayın etkisini daha da artırdı.
Saldırgan bir arbitraj botundan yararlandı ve Curve havuzunda 2,3 milyon dolarlık bir kayba yol açtı. Botun içinde, Sarılmış Ether’den (WETH) Sarılmış Bitcoin’e (WBTC) kadar bir işlemi tetiklemelerini sağlayan açıkta kalan bir işlev keşfettiler.
Daha sonra, Eğri havuzu içindeki WETH/WBTC fiyat oranını önemli ölçüde değiştirmek için kullanarak 27.255 WETH tutarında (51,36 milyon dolara eşdeğer) bir flaş kredi gerçekleştirdiler.
Saldırgan, havuzu istikrarsızlaştırarak arbitraj botunu 1.339,8 WETH’yi (yaklaşık 2,52 milyon dolar) 6,95 WBTC’ye (yaklaşık 244.000 dolar) dönüştürmeye zorladı.
MEV botunun sahibinin, saldırıdan önce sözleşmeden parayı zaten çekmiş olduğunu unutmamak önemlidir.
İlginizi Çekebilir: Trc 20 Nedir?
Curve Finance’in Önceki İstismarları
30 Temmuz 2023’te Curve Finance‘in birden fazla likidite havuzunda bir dizi istismar meydana geldi ve bunun sonucunda yaklaşık 70 milyon dolar zarar oluştu. Bu olay DeFi topluluğu içinde önemli endişelere yol açtı. Saldırılar, Curve ve diğer merkezi olmayan protokoller de dahil olmak üzere Ethereum akıllı sözleşmeleri tarafından kullanılan üçüncü taraf Pythonic programlama dili olan Vyper’daki bir güvenlik açığı nedeniyle mümkün oldu.
İlk olayın ardından hem beyaz şapkalı bilgisayar korsanlarının hem de Madenci Çıkarılabilir Değer (MEV) bot operatörlerinin kaybedilen fonların bir kısmını kurtarmak için işbirliği yaptığını belirtmek önemlidir. Sonuç olarak kayıpların nihai değeri, önerilen ilk raporlardan daha düşük olabilir.
Saldırının üzerinden bir haftadan kısa bir süre geçtikten sonra, hacker 4.820 alETH ve 2.258 ETH’yi Alchemix’e iade etti; bu da yaklaşık 12,7 milyon dolara tekabül ediyor.
6 Ağustos 2023’te Curve Finance, Twitter aracılığıyla bilgisayar korsanının kalan fonları gönüllü olarak iade etmesi için son tarihin geçtiğini duyurdu. Sonuç olarak şirket, hackerın kimliğini tespit edebilen herkese 1,85 milyon dolarlık ödül teklifini uzattı.