Osmosis blokzinciri üzerinde faaliyet gösteren merkeziyetsiz finans (DeFi) platformu Levana Protocol, güvenlik istismarı nedeniyle milyon dolar kaptırdı.
Levana Protocol, 1,1 milyon dolarlık bir güvenlik açığı ihlalinin kurbanı oldu. Osmosis blokzinciri üzerinde faaliyet gösteren platform geç fark edilen bir hata nedeniyle 13 gün boyunca saldırganların hedefinde yer aldı. İstismarın fark edilmesinin ardından açık kapatıldı.
Saldırgan, 13 Aralık ve 26 Aralık tarihleri arasında yani 13 gün boyunca istismar ettiği güvenlik açığı sayesinde Levana’nın likidite havuzlarının %10’unu boşaltmayı başardı. Ekip yaşanan saldırıdan mevcut vadeli işlemler pozisyonlarının veya karların etkilenmediği vurguladı.
İstismar hakkında sunulan raporda, saldırganın “Congestion attack” yöntemini kullandıklarına yer verildi. Bu saldırı türü ağın kapasitesini doldurarak normal işlemlerin yapılmasını engelledi ve bu durum, Levana kullanıcılarının piyasalarla etkileşimini zorlaştırdı. Açıktan faydalanan saldırgan, 13 günlük zaman zarfında parçalar halinde havuzları boşalttı:
Osmosis market kodundaki bir hata, yoğunluk zamanlarında sağlanan işlem ücretinin genellikle işlem yapmak veya devam eden bot bakım faaliyetlerini gerçekleştirmek için yetersiz olduğu anlamına geliyordu. Ortada Pyth oracle ile ilgili herhangi bir güvenlik açığı yok. Pyth oracle tam olarak beklendiği gibi davrandı.