Balancer hacklendi, kayıp 100 milyon doların üzerinde

Ethereum ağında faaliyet gösteren likidite havuzu Balancer hacklendi. Siber atak sonucu 116 milyon doların üzerindeki kripto varlık buharlaştı.

Balancer grubu, pazartesi günü TSİ 11.00 sularında X (eski ismiyle Twitter) üzerinden yaptığı açıklamada, “Balancer v2 havuzlarını etkileyen potansiyel bir istismarın farkındayız. Mühendislik ve güvenlik takımlarımız olayı öncelikli olarak inceliyor” sözlerini kullandı ve yeni bilgiler geldikçe paylaşım yapılacağını belirtti.

Zincir üstü bilgilere nazaran merkeziyetsiz finans (DeFi) protokolü birinci etapta 70,9 milyon dolar pahasında likit stake edilmiş Ether (ETH) varlığının üç farklı süreçle yeni bir cüzdana aktarılmasıyla siber akına uğradı. Kripto tahlil platformu Nansen pazartesi günü yaptığı paylaşımda bu bilgileri doğruladı.

Zararın boyutu gitgide büyüyor

TSİ 11.52 prestijiyle, Lookonchain’in zincir datalarına nazaran taarruzun toplam büyüklüğü 116,6 milyon doların üzerine çıktı. Nansen araştırma analisti Nicolai Sondergaard, Cointelegraph’a yaptığı açıklamada taarruzun “akıllı kontratlardaki yanılgılı erişim kontrolünden” kaynaklandığını belirterek şunları söyledi: “Saldırganın fon çekme komutu göndermesine müsaade veren bir erişim kusuru mevcut üzere görünüyor. Şu anda kayıplar 100 milyon doların üzerinde.”

Balancer takımından ödül teklifi

Balancer takımı, fonları geri almak için beyaz şapkalı hacker’lara çalınan fonların yüzde 20’sine kadarödül teklif etti. Fonların çabucak iade edilmesi durumunda bu teklif geçerli olacak. Şayet fonlar 48 saat içinde iade edilmezse, Balancer grubu blokzincir tahlil uzmanları ve kolluk kuvvetleriyle iş birliği içinde failin tespitine devam edeceğini açıkladı.

Protokolden yapılan zincir üstü bildirimde şu tabirler yer aldı: “Ortaklarımız, altyapımızda toplanan erişim günlüğü metaverileri sayesinde saldırganın kimliğinin tespit edileceğinden epeyce emin. Bu datalar, makul IP adresleriyle zincir üstü süreç vakit damgaları ortasında direkt irtibatlar gösteriyor.”

Balancer daha evvel de maksat olmuştu

İki yıl evvel Balancer, web sitesinin ön yüzüne yönelik bir DNS saldırısına maruz kalmıştı. Saldırganlar, kullanıcıları geçersiz akıllı kontratlar içeren bir phishing (oltalama) sitesine yönlendirmişti. Blokzincir araştırmacısı ZachXBT kelam konusu olayda yaklaşık 238 bin dolar bedelinde dijital varlığın çalındığını açıklamıştı.

Ayrıca Ağustos 2023’te protokol kimi likidite havuzlarında “kritik bir güvenlik açığı” bulunduğunu duyurmasından yalnızca bir hafta sonra yaklaşık 1 milyon dolarlık kaybın yaşandığı stablecoin saldırısı gerçekleşmişti.

Merkeziyetsiz finans protokolü 2020’nin haziran ayındaysa Statera (STA)’ya dayalı bir flash loan (ani kredi) atağında 500 bin dolar bedelinde Ether ve öbür tokenlarını kaybetmişti.