DeFi Protokolü Curve Finance, Vyper Güvenlik Açığından Dolayı 52 Milyon Dolarlık Saldırıya Uğradı

DeFi Protokolü Curve Finance, Vyper Güvenlik Açığından Dolayı 52 Milyon Dolarlık Saldırıya Uğradı

Önde gelen bir DeFi protokolü olan Curve Finance, alETH/msETH/pETH stablecoin havuzundan gelen yıkıcı bir saldırının kurbanı oldu ve bu saldırı sonucunda 52 milyon dolarlık şaşırtıcı bir kayıp yaşandı. Saldırının temel nedeni, Ethereum Sanal Makinesi (EVM) sözleşme programlama dili Vyper’ın belirli sürümlerinde bulunan bir güvenlik açığı olarak tespit edildi.

Saldırgan, özellikle Vyper’ın 0.2.15, 0.2.16 ve 0.3.0 sürümlerini etkileyen, Vyper içindeki özyinelemeli kilit hatasını sömürdü. Bu kritik güvenlik açığı, çeşitli DeFi protokollerinin güvenlik kurumları tarafından dikkatlice izlendiği ve stres testlerine tabi tutulmasına neden oldu.

Saldırganlar, aETH/ETH, msETH/ETH, pETH/ETH ve CRV/ETH gibi Curve Finance üzerindeki birden fazla likidite havuzuna yönelerek, reentrancy kilit açığını kullanarak bu havuzları tamamen boşaltmayı başardılar. Ancak, Curve Finance üzerindeki tüm diğer havuzların saldırıdan etkilenmediği ve güvenli kaldığı doğrulandı.

Olaya tepki olarak, Curve Finance hızlı bir şekilde durumu ele almak için adımlar attı. “MEV Bot” olarak bilinen erken dağıtıcı, c0ffeebabe.eth olarak tanımlanan kişi, takdire şayan bir şekilde, yaklaşık 5.4 milyon dolar değerindeki 2,879.54 ETH’yi Curve Finance dağıtıcısına iade etti. Bu proaktif jest, saldırı nedeniyle oluşan zararları azaltmaya yönelikti ve krizin çözümüne olan bağlılığı gösterdi.

DeFi topluluğu, Vyper’ın resmi belgelerinin yanlış sürümünü kurulum için önermesi ve bu durumun saldırganlar tarafından sömürülen güvenlik açığına dolaylı olarak katkıda bulunması nedeniyle akıllı sözleşmelerin güvenliği konusunda tartışmalara yönlendirildi.

Saldırıdan etkilenen diğer bir proje ise Alchemix oldu. Alchemix, Curve Finance tarafından alETH/ETH havuzunun Vyper hatası nedeniyle açık olduğu yönündeki bildirime hızlı bir şekilde yanıt verdi. Alchemix, AMO (Alchemix’in özel token’ı) sözleşmesinin kontrol hareketliliği aracılığıyla AMO’yu Curve havuzundan hızlıca çıkarmak için bir süreç başlattı. Önemli bir şekilde, Alchemix akıllı sözleşmesi kendisi etkilenmemiş ve böylece kullanıcıların fonlarının güvenliğini sağlamıştır.

Ancak, AMO tarafından kontrol edilen kalan likiditeyi çıkarma sürecinde, alETH/ETH Curve havuzu yaklaşık 5.000 ETH’lik bir kayıp yaşadı. Alchemix kullanıcılarına, alETH/ETH Curve havuzuna likidite sağlamaktan kaçınmaları konusunda bir uyarı yayınladı. alETH’i başka bir yerde likidite sağlamak teknik olarak güvenli olabilir, ancak kullanıcılar saldırganların likiditeyi kendi çıkarları için kullanabileceği endişesiyle dikkatli olmaları konusunda uyarıldı.

Bu olay, sıkı güvenlik denetimlerinin önemini vurguluyor ve hızla gelişen DeFi alanında sürekli izleme ve güncellemelerin gerekliliğini ortaya koyuyor. Geliştiriciler ve kullanıcılar, DeFi protokollerinde olası saldırılara karşı korunmak için dikkatli olmaya ve gerekli önlemleri almaya çağrılıyor.

Olaya tepki olarak, Vyper’ın arkasındaki geliştiriciler, 0.2.15, 0.2.16 ve 0.3.0 sürümlerindeki özyinelemeli kilitleri geçersiz ilan ettiler. Bu proaktif önlem, Vyper’a dayanan diğer protokollerde aynı güvenlik açığından kaynaklanabilecek daha fazla olayı önlemeyi hedefliyor.

Ayrıca, Coincu tarafından bildirildiğine göre, Aave, Ethereum üzerinde CRV ödünç alma işlemini acil olarak durdurma hareketini başlattı. Bu adım, Curve hatalarını istismar ederek ödünç alınan CRV’yi kötüye kullanmaktan ve tekrarlayan tasfiyelere yol açabilecek kötü niyetli kısa pozisyonlara girmekten tüccarları korumayı amaçlamaktadır.