Fiyatlar yükleniyor…
🩸BEARISH

Edel Finance'i vuran 7.700% teminat açığında wGOOGLx istismarı

Kötü borç yalnızca $403K tutarındaydı, ancak başarısızlık biçimi DeFi'nin bir türlü kurtulamadığı bir kalıptan geliyor: bu kez tokenize edilmiş bir Google hissesi üzerinden, fiyatın kendisini değil protokolün fiyata bakışını manipüle etmek.

Edel Finance'i vuran 7.700% teminat açığında wGOOGLx istismarı
Edel Finance'i vuran 7.700% teminat açığında wGOOGLx istismarı
Edel Finance'i vuran 7.700% teminat açığında wGOOGLx istismarı
Edel Finance'i vuran 7.700% teminat açığında wGOOGLx istismarı

Edel Finance, bir sürüm-bir borç verme protokolünü Salı günü durdurdu; saldırgan, tokenize edilmiş bir Google hissesinin sarılı versiyonunun değerini gerçek fiyatının yaklaşık 78 katına şişirmiş ve bunu teminat göstererek borçlanmıştı; bu da yaklaşık $403.000 tutarında kötü borç bıraktı. Hedef, GOOGLx'in sarılı biçimi olan ve Edel'in borç verme piyasasında teminat olarak kabul ettiği wGOOGLx'ti.

Asıl sorun fiyatlama katmanında değildi. Edel, Chainlink oracle'larının Alphabet hissesinin fiyatını yaklaşık $357 olarak doğru biçimde bildirdiğini söyledi. Açık, GOOGLx'in wGOOGLx'e dönüşme ve geri dönüşme mekanizmasındaydı; bu, yukarı yöndeki fiyat akışı doğru kalsa bile saldırganın yanlış fiyatlanmış teminata karşı gerçek varlıklar borçlanmasına olanak tanıdı.

Neden önemli

Sömürü, DeFi'nin en kalıcı saldırı kategorilerinden birine denk geliyor: bir protokolün içine sızmak yerine okuduğu fiyatı manipüle etmek. Hem CertiK hem de OWASP Akıllı Kontrat İlk 10'u, oracle ve fiyat manipülasyonu vektörlerini alanın en yaygın vektörleri arasında gösteriyor; bu liste yalnızca, yılın en büyük tekil hırsızlıklarına (Nisan ayında Kelp DAO'dan çekilen $292 milyon dahil) yol açan zincirler arası köprü açıklarının ardından geliyor. Bu olayların çoğunda kod tam olarak yazıldığı gibi çalışıyor; kayıp, yazarların öngöremediği bir mantık boşluğundan kaynaklanıyor.

Tokenize edilmiş hisse senetleri, bu yüzeye yeni bir katman ekliyor. Google gibi gerçek dünya hisselerini zincire taşımak, hisse ile fiyat arasında sarma ve dönüştürme adımları gerektiriyor; her ek adım, saldırganın yukarı yöndeki oracle'ın göremediği bir yanlış fiyatlandırmayı sıkıştırabileceği yeni bir nokta yaratıyor.

Piyasa etkisi

Edel, saldırganın işlemlerini izlediğini, tüm sürüm-bir sözleşmelerini durdurduğunu (donmuş halde kaldıklarını) ve borsalarla koordinasyon içinde olduğunu söyledi. Ekip, saldırgana belirli bir süre içinde white-hat anlaşma teklif etti. Hiçbir mevduat sahibi zarar görmeyecek: Edel kötü borcu üstleniyor ve bakiyeleri bire bir geri yüklüyor; aynı manipülasyon sınıfını engellemeyi hedefleyen yeniden tasarlanmış bir sürüm-iki sistemini de devreye alıyor; ayrıntılı bir teknik açıklamanın ileride paylaşılması planlanıyor. Dolar tutarı küçük, ancak bu kalıp, yeni teminat türlerinin eski borç verme kodlarıyla buluştuğu her yerde kendini tekrarlamaya devam ediyor.

Sıkça sorulan sorular

  1. Edel Finance saldırısında tam olarak ne istismar edildi?

    Saldırgan, GOOGLx ile sarılı formu wGOOGLx arasındaki dönüşüm oranını manipüle ederek sarılı tokenin değerini gerçek Google hisse fiyatının yaklaşık 78 katına şişirdi ve buna karşı gerçek varlıklar borçlandı. Chainlink oracle'ları Alphabet'in fiyatını yaklaşık $357 olarak doğru biçimde bildirdi.

  2. Edel Finance sömürüsünde ne kadar para kaybedildi?

    Saldırgan şişirilmiş teminata karşı borçlandığında yaklaşık $403.000 tutarında kötü borç oluştu. Edel, kayıpları üstleneceğini ve hiçbir mevduat sahibinin etkilenmeyeceğini, bakiyelerin bire bir geri yükleneceğini söyledi.

  3. Edel Finance kullanıcıları fonlarını kaybedecek mi?

    Hayır. Edel, ekibin kötü borcu üstlendiğini ve tüm mevduat sahibi bakiyelerini bire bir geri yüklediğini söyledi. Protokolün sürüm-bir sözleşmeleri durdurulmuş ve donmuş durumda kalıyor.

  4. Bu tür bir sömürü DeFi'de neden yaygın?

    Oracle ve fiyat manipülasyonu vektörleri, en yaygın akıllı kontrat saldırı sınıfları arasında yer alıyor; OWASP Akıllı Kontrat İlk 10'unda ve CertiK raporlarında yalnızca zincirler arası köprü açıklarının gerisinde sıralanıyor. Çoğu durumda kod tam olarak yazıldığı gibi çalışıyor; boşluk, yazarların öngöremediği…

  5. Edel, başka bir sömürüyü önlemek için ne yapıyor?

    Edel, aynı manipülasyon sınıfını engellemeyi hedefleyen yeni bir fiyatlama düzeniyle yeniden tasarlanmış bir sürüm-iki sistemini devreye alıyor. Ekip ayrıca saldırgana belirli bir süre içinde white-hat anlaşma teklif etti ve borsalarla koordinasyon halinde çalışıyor.

Kaynak atıf
Şuradan derlenmiştir CoinDesk · Doğrulanmış · Son güncelleme 1s önce
Orijinali aç →