Makina Finance, Ethereum üzerinde çalışan bir merkeziyetsiz finans protokolü olarak, DUSD/USDC stableswap havuzundaki savunmasız bir oracle mekanizmasının saldırgan tarafından istismar edilmesi sonucu yaklaşık 4,2 milyon dolar kaybetti; blok zinciri güvenlik firması CertiK, çalınan fonların çoğunu bir MEV builder adresine kadar izledi.
Ne Oldu: Stableswap Havuzu Boşaltıldı
CertiK'in analizine göre saldırgan, istismarı gerçekleştirmek için 280 milyon USDC'lik bir flash kredi kullandı.
Yaklaşık 170 milyon USDC, DUSD/USDC havuzunun fiyatlama için dayandığı MachineShareOracle'ı manipüle etmek için kullanıldı.
Geriye kalan 110 milyon USDC ise yaklaşık 5 milyon dolarlık havuza karşı takas edilerek havuzu neredeyse tamamen boşalttı.
Güvenlik araştırmacısı n0b0dy, kök nedeni, herkesin işlemin ortasında protokolün fiyat çıpasını yenilemesine izin veren "updateTotalAum()" adlı izinsiz bir fonksiyon olarak tanımladı.
Oracle'da zaman gecikmeleri, hacim ağırlıklı ortalama fiyatlama ve erişim kontrolleri yoktu — bu da saldırganın, tek bir işlem içinde manipüle edilen havuz bakiyelerini muhasebe sistemine işlemesine olanak tanıdı.
TenArmor güvenlik sistemleri saldırıyı tespit etti ve yaklaşık 4,2 milyon dolarlık kaybı doğruladı.
Ayrıca Oku: [Ethereum Staking Hits 30% All-Time High As $115B Gets Locked Away(https://yellow.com/news/ethereum-staking-hits-30-all-time-high-as-dollar115b-gets-locked-away)
Neden Önemli: Oracle Tasarım Kusurları
Bu istismar, uygun güvenlik önlemleri olmadan anlık fiyatlı oracle'lara dayanan DeFi protokollerinde süregelen bir kırılganlığı ortaya koyuyor.
Pay fiyatlarının mevcut havuz bakiyelerinden anında güncellenebilmesi, flash kredilerle yaratılan geçici dengesizliklerin fiyat hesaplamaları için istismar edilebilir bir "gerçek" hâline gelmesine yol açıyor.
Bu oracle’a karşı DUSD işlemi yapan herhangi bir havuz, fiilen saldırgan için bir ödeme mekanizmasına dönüştü.
Sıradaki Haber: ASTER Hits All-Time Low At $0.61 Despite Strategic Buyback Activation