Aevo’nun DeFi Vault’ları saldırıya uğradı, kayıp yaklaşık 2,7 milyon dolar.
Kripto Haberleri
Ribbon Finance’in eski DeFi opsiyon vault’ları 12 Aralık’ta yaklaşık 2,7 milyon dolar boşaltıldı. Saldırı, Ribbon 2023’te Aevo olarak yeniden markalandığı halde Ethereum’da aktif kalan akıllı sözleşmelere odaklandı.
Güvenlik analistleri, istismarın 6 Aralık’ta yapılan oracle yükseltmesine dayandığını belirledi; bu yükseltme kazara herhangi bir kullanıcının yeni eklenen varlıklar için fiyat belirlemesine izin verdi. Açık, sadece Ribbon’un oracle yapılandırmasıyla ilgiliydi ve temel Opyn protokolünü veya Aevo’nun ana layer-2 borsasını etkilemedi.
Blockchain analisti Specter, X üzerinde şüpheli çıkışları ilk fark eden kişi oldu ve istismar sözleşme adresi ile ilk çalınan cüzdanları işaretledi. Saldırgan, yüzlerce ETH ve önemli miktarda USDC çektikten sonra geliri 15 farklı adrese dağıttı.
Güvenlik araştırmacısı Liyi Zhou, saldırganın Opyn/Ribbon oracle yığını nasıl manipüle ettiğini detaylı bir şekilde açıkladı. İstismar, wstETH, AAVE, LINK ve WBTC için rastgele vade fiyatlarını ortak oracle’a aynı vade zaman damgasında ittiriyordu.
Monarch DeFi’den Anton Cheng, 6 Aralık yükseltmesinin herhangi birinin yeni varlıklar için fiyat belirlemesine izin verdiğini doğruladı. Hedeflenen DeFi Options Vault’lar, DeFi’nin zirve döneminde toplam 300 milyon dolardan fazla kilitli değere sahipti.
Aevo, tüm Ribbon vault’larının durdurulduğunu ve hemen devre dışı bırakılacağını açıkladı. Ekip, çekimlerin sadece hack anındaki pozisyon değerinin %19 azaltılmasıyla yapılmasını önerdi; vault’lar yaklaşık %32 kayıp yaşamasına rağmen.
Daha küçük kesinti, DAO’nun kendi vault pozisyonlarını yaklaşık 400.000 dolar değerinde bırakmasıyla mümkün olacak ve bu, hırsızlığı kısmen telafi edecek. Bu, net kayıpları 2,3 milyon dolara düşürüyor. Ayrıca, en büyük mevduatlara sahip hesaplar son 2–4 yıldır etkin değil ve muhtemelen çekim yapmayacak.
Aevo, aktif kullanıcıları önceliklendirerek onlara önceden daha küçük kesinti sağlıyor. Talep süresi 12 Aralık’tan 12 Haziran’a kadar altı ay sürecek. Bu tarihten sonra DAO, kalan varlıkları tasfiye edecek ve daha önce çekim yapan kullanıcılara dağıtarak eksik %19’u veya mevcut olanı telafi edecek.
Ekip, DAO’nun hiç bir zaman mevduat sigortası vaad etmediğini veya sunmadığını belirtti. Oracle manipülasyonu, DeFi’de sürekli bir saldırı vektörü olmaya devam ediyor; Venus Protocol, ZKsync üzerinde benzer bir istismarda bu yılın başlarında 717.000 dolar kaybetmişti.
Disclaimer: Bu içerik AI tarafından çevrilmiştir, hatalar olabilir.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
