- —
- Haberler
- —
- Abracadabra DeFi Protokolü, Basit Bir Mantık Hatası Nedeniyle 1.8 Milyon Dolar Kaybetti
Abracadabra DeFi Protokolü, Basit Bir Mantık Hatası Nedeniyle 1.8 Milyon Dolar Kaybetti
Abracadabra, bir toplu işlem fonksiyonundaki basit bir mantık hatasından yararlanan bir saldırgan tarafından yaklaşık 2 milyon dolar kaybetti. Saldırgan, çalınan fonları Tornado Cash aracılığıyla akladı.
DeFi protokolü Abracadabra, toplu işlem fonksiyonundaki basit bir mantık hatasından yararlanan bir saldırgan tarafından yaklaşık 1.8 milyon dolar kaybetti. Blockchain güvenlik firması Hacken analistlerine göre, saldırgan fonları Tornado Cash üzerinden akladı.
Abracadabra, kullanıcıların teminat olarak yatırılan token'ları kullanarak MIM (Magic Internet Money) adlı bir stabilcoin ödünç almalarına izin veren bir DeFi borç verme protokolüdür. Saldırı, bir borçlunun yeterli teminata sahip olup olmadığını kontrol etmesi gereken bir güvenlik bayrağını atlatarak gerçekleşti. Saldırgan, altı ayrı Cauldron'dan (kazan) aynı anda para çekti. Daha sonra çalınan MIM'i ETH ile değiştirdi ve Tornado Cash üzerinden yönlendirdi.
Olay şu şekilde gelişti: Abracadabra, kullanıcıların tek bir işlemde birden fazla eylem gerçekleştirebilmesi için cook() adlı bir toplu işlem fonksiyonu kullanıyor. Bu eylemlerden biri olan 'borç alma' adımı, 'borçlunun güvenli olup olmadığını işlem sonunda kontrol et' anlamına gelen needsSolvencyCheck adlı bir bayrağı true olarak ayarlıyor. Ancak aynı toplu işlem içinde çalıştırılabilen başka bir eylem olan _additionalCookAction() fonksiyonu, 'virtual' olarak tanımlandığı ve hiç uygulanmadığı için, varsayılan olarak her şeyin false olarak ayarlandığı boş bir nesne döndürüyordu. Buna needsSolvencyCheck bayrağı da dahil. Bu durum, saldırganın borç alma eylemini çağırmasına, ardından bayrağı sıfırlayan varsayılan eylemi çağırmasına ve sonuç olarak protokolün asla ödeme gücünü kontrol etmemesine olanak sağladı.
Hacken analistleri, saldırganın altı Cauldron'a aynı anda saldırdığını ve yaklaşık 1.79 milyon MIM çaldığını belirtti. Çalınan fonlar daha sonra ETH'ye çevrilerek Tornado Cash üzerinden yönlendirildi. Bu, Abracadabra'nın CauldronV4 kodunun karıştığı ilk olay değil. Daha önceki olaylar da aynı sözleşme ailesindeki farklı uç durumlardan kaynaklanmıştı. İlginç olan nokta, benzer bir zayıflığı tespit eden bir fork projesinin (Synnax) günler öncesinde CauldronV4'ünü kara listeye alarak olaya hızlı tepki vermesiydi.
(!) Bu haber yatırım tavsiyesi içermez. Kripto para yatırımlarınızda dikkatli olmalı ve profesyonel tavsiye almalısınız.