Merkezi Olmayan Finans platformu Balancer'ın Hacker saldırısına ilişkin Teknik Analiz

Son günlerde, "borç verme ile madencilik" modeli nedeniyle dikkat çeken bir Merkezi Olmayan Finans platformu bir Hacker saldırısına uğradı. Saldırgan, bu platformdaki STA ve STONK adlı iki ERC20 deflasyon token havuzunun açığını kullanarak 500.000 doların üzerinde bir kayba neden oldu.

Güvenlik uzmanlarının analizine göre, sorunun kaynağı bu platformdaki deflasyonist token ile akıllı sözleşmesi arasında belirli durumlarda bir uyumsuzluk bulunmasıdır. Bu, saldırganların fiyat sapması olan token likidite havuzları oluşturarak bundan kâr elde etmelerine olanak tanımaktadır.

Saldırı süreci dört ana adıma ayrılır:

1. Saldırgan, bir borç verme platformundan büyük miktarda WETH aldı ve bunu flaş kredi olarak kullandı.

2. Saldırgan, hedef platformun elindeki çoğu STA tokeninin tükenmesi için swapexactMountin() çağrısını tekrar tekrar gerçekleştirir, bir sonraki saldırı adımına hazırlık yapar.

3. STA token ve akıllı sözleşmeler arasındaki uyumsuzluktan, yani muhasebe ve bakiye uyuşmazlığından yararlanarak, saldırgan diğer varlıkları havuzdan başarıyla tüketti ve sonuçta 520.000 dolardan fazla kazanç sağladı.

4. Saldırgan, flaş krediyi geri ödedi ve saldırıdan elde edilen dijital varlıkları transfer etti.

Saldırının ikinci aşamasında, saldırgan platformda yalnızca çok az miktarda STA kalmasını sağladı, bu da STA'nın değerinin anormal şekilde yükselmesine neden oldu. Ardından, saldırgan, token transferlerinin ücret mekanizmasını kullanarak platformun实际 aldığı STA miktarının iç muhasebe ile uyumsuz hale gelmesini sağladı.

Gulp() fonksiyonunu tekrar tekrar çağırarak iç muhasebeyi sıfırlayan saldırgan, çok az miktarda STA ile çok miktarda başka varlıkları değiştirebiliyor ve bu şekilde piyasa havuzundaki WETH, SNX, LINK gibi varlıkları tüketecek kadar devam edebiliyor.

Bu olay, Merkezi Olmayan Finans'ın kombinasyon risklerinin uyumluluk sorunlarını bir kez daha ortaya koydu. Benzer saldırıları önlemek için öneriler:

1. Deflasyonist tokenler transfer sırasında, miktar ücretleri ödemek için yetersiz olduğunda doğrudan geri alınmalı veya False döndürülmelidir.

2. Merkezi Olmayan Finans platformu, her transferFrom() fonksiyonu çağrısından sonra gerçek bakiyeyi kontrol etmelidir.

Daha önemlisi, DeFi proje geliştiricileri iyi kod standartlarını benimsemeli ve hayata geçmeden önce kapsamlı bir güvenlik testi gerçekleştirmelidir. Ayrıca, çeşitli token standartları ve DeFi projelerinin birleşim davranışları için yeterli uyumluluk kontrolü de son derece önemlidir.

Bu saldırı toplamda yaklaşık 523.000 dolarlık bir zarara yol açtı ve çeşitli dijital varlıkları kapsadı. Bu, şüphesiz tüm Merkezi Olmayan Finans ekosistemini etkileyacaktır ve geliştiricileri akıllı sözleşmelerin güvenliğine dikkat etmeleri konusunda uyaracaktır. Merkezi Olmayan Finans alanının hızlı gelişimi ile birlikte, benzer güvenlik olaylarının devam etmesi muhtemeldir, bu nedenle güvenlik bilincinin artırılması ve teknik önlemlerin alınması son derece önemlidir.