Hackerlar Balancer DeFi Protokolünden $120 Milyon Çaldı

Hackerlar, Balancer'ın V2 havuzlarındaki bir güvenlik açığını kullanarak $120 milyonun üzerinde kayba neden oldular.

Saldırı, kasa çağrılarında hassas bir yuvarlama hatası veya yetkisiz sözleşme manipülasyonu içeriyordu.

Breach'ten sonra, hacker'ı çalınan fonları geri vermeye ikna etmeye çalışan oltalama dolandırıcılıkları ortaya çıktı.

Balancer, merkeziyetsiz finans (DeFi) platformu, hackerların V2 havuzlarını istismar ettiğini ve $120 milyonun üzerinde bir ihlale neden olduğunu doğruladı. Protokolün V2 kompostlanabilir stabil havuzlarını hedef alan bu olay, bu yıl bir DeFi protokolüne yönelik en büyük saldırılardan biri olarak kaydedildi. Balancer olayı araştırmaya devam ederken, kullanıcılara saldırıyla ilgili potansiyel dolandırıcılıklara karşı dikkatli olmalarını hatırlattı.

Saldırı Detayları ve Yöntemi

Saldırı, UTC ile 7:48'de gerçekleşti; bu sırada hackerlar Balancer’ın V2 Vault sistemindeki bir güvenlik açığını kullandılar. GoPlus Security'e göre, istismar, platformun takas hesaplamalarındaki bir hassasiyet yuvarlama hatasından kaynaklandı. Bu hatalar, takaslar sırasında token miktarlarında küçük farklılıklara neden oldu ve saldırganlar bunları avantajlarına kullandılar. Birden fazla takası batchSwap fonksiyonu aracılığıyla zincirleyerek, hackerlar büyük ölçekli fiyat bozulmaları oluşturmayı başardılar.

Saldırı için bir başka açıklama, Balancer’ın V2 kasalarında yanlış yetkilendirme ve geri çağırma işlemlerinin yönetilmesine işaret ediyor. Güvenlik uzmanı Aditya Bajaj, kötü niyetli bir sözleşmenin havuz başlatma sırasında kasa çağrılarını manipüle ettiğini belirtti. Bu, yetkisiz takasların ve bağlantılı havuzlar arasında denge manipülasyonlarının yapılmasına olanak tanıdı ve protokolün güvenlik önlemlerini aşmayı sağladı. Bu farklı açıklamalara rağmen, Balancer saldırının tam yöntemini henüz doğrulamış değil. Ancak, şirket, ihlali değerlendirmek ve kapsamını tam olarak anlamak için önde gelen güvenlik araştırmacılarıyla çalışıyor.

Hack, sadece Balancer'ın V2 havuzlarıyla sınırlıydı ve V3 gibi diğer havuzlara ulaşmadı. Ekip, kendi kanalları aracılığıyla iletişim kurdu ve bir soruşturma sözü verdi. Balancer, konu hakkında zaten konuştu ve soruşturma tamamlandığında bir otopsi raporu sözü verdi. Balancer, 2021'den bu yana farklı seviyelerde incelemelerle toplamda 11 kez denetime tabi tutulmasına rağmen, bu istismar bu denetimlerin etrafından bir yol buldu. Olay, DeFi protokolleri için mevcut güvenlik önlemlerinin sınırlılıklarını düşündürüyor.

Hacker'ı Hedef Alan Phishing Dolandırıcılıkları

Saldırıdan sonra, hacker'ı çaldığı parayı geri vermeye yönlendirmeyi amaçlayan yanıltıcı bir mesaj belirdi. Balancer gibi davranan mesaj, hacker'a çalınan fonların geri kalanı için %20'lik bir “beyaz şapka ödülü” teklif ediyordu. Dolandırıcı, hacker'ı teslim olmaya ikna etmek için blockchain tehditleri kullanıyordu. Balancer, kullanıcılarına bir phishing girişimi olduğunu ve çok dikkatli olmaları gerektiğini bildiren bir uyarı yaptı.

Balancer'a yapılan saldırı olayı, DeFi alanının gelecekte karşılaşacağı güvenlik zorluklarına dair net bir resim sunuyor çünkü güvenlik dinamiklerindeki sürekli değişimlerden etkileniyor. Ancak, bu hack herhangi bir spesifik gruba bağlanmamış; yine de, bu yıl birkaç DeFi soygununu Kuzey Koreli hackerların gerçekleştirdiği bildirilmiştir.

Toplamda, $2 milyar değerinde kripto paranın Kuzey Kore hırsızlıklarıyla bağlantılı olduğu ve bu nedenle DeFi platformlarının büyük güvenlik sorunları yaşamaya devam ettiği belirtiliyor. Şu anda, Balancer platformunu güvence altına alma ve daha fazla istismarı durdurma sürecindedir. İhlal hakkında daha fazla bilgi ve alınan önlemler, soruşturma tamamlandıktan sonra açıklanacaktır.