DeFi sektörünün eylül ayında yaşadığı sert düşüşten sonra toparlanma emareleri ortaya çıkmaya başlasa da kötü haberler yine üst üste gelmeye başladı. Kısa süre önce 16 Kasım tarihinde ortaya çıkan Value DeFi saldırısından sonra bir kötü haber de Cheese Bank’den geldi. Cheese Bank’e yönelik flash loan aracılığıyla yapılan saldırı sonucunda 3,3 milyon dolarlık kayıp olduğu açıklandı.
DeFi protokolü Cheese Bank saldırıya uğradı.
Cheese Bank, merkeziyetsiz ve otonom bir dijital banka protokolü olarak biliniyor. Bugün hem Twitter hem de Medium üzerinden yapılan resmi açıklamada, saldırı doğrulandı. Cheese Bank yetkilileri protokolde saldırıya kapı aralayan yazılımsal hatanın giderildiğini ancak bazı fonksiyonların geçici olarak devre dışı bırakıldığını ifade etti. Söz konusu devre dışı bırakmanın ise gelecekte bu gibi durumlarla ilgili riskleri azaltmak için olduğu açıklandı.
1)Recently, Cheese Bank was confirmed to be under flash loan attack. At present, the protocol bug has been fixed but some functions will be temporarily paused in order to work on future risk-mitigation strategies.
— Cheese Bank (@CheeseBank2020) November 16, 2020
PeckShield tarafından yayınlanan gönderide aslında saldırının 6 Kasım 2020 tarihinde gerçekleştiği belirtiliyor. Bu tarihte saldırganın 3,3 milyon dolar değerinde USDC/USDT ve DAI stablecoin’lerini çalmayı başardığı ifade edilmekte.
Peki saldırgan bunu nasıl gerçekleştirdi?
Saldırganın ilk olarak dYdX protokolünden 21.000 ETH değerinde flash loan çektiği görülüyor. Saldırgan bunun devamında elindeki 50 ETH’yi UniswapV2 platformu üzerinden 107.000 CHEESE yani Cheese Bank’ın protokol tokeni ile değiştiriyor.
Sonraki adım olarak ise 107.000 CHEESE ile 78 ETH, UniswapV2 üzerinden likidite olarak kilit altına alınıyor ve karşılığında UNI_V2 LP tokenlerine ulaşılıyor. Elde edilen bütün LP tokenleri ile sUSD_V2 tokeni üreten saldırgan, aslında tam da burada yazılımsal açığı kullanıyor. Saldırgan Cheese Bank üzerinden kripto para kredisi almak için söz konusu LP tokenlerini kullanıyor.
Daha sonra 20.000 ETH’yi 288.000 CHEESE ile takas eden saldırgan, UniswapV2 üzerinde CHEESE fiyatını inanılmaz bir şekilde arttırıyor. Bu fiyat artışı da Cheese Bank’e kredi karşılığında verilen UNI_V2 LP tokenlerinin değerini çok daha yüksek bir seviyeye çıkartıyor. Cheese Bank ilgili LP tokenlerinin değerini ayarlamak için bir likidite havuzundaki WETH miktarını kullanıyor ve saldırgan da tam olarak bu zayıf noktaya yöneliyor. UniswapV2 üzerinde maniple edilmiş UNI_V2-CHEESE-ETH havuzu, saldırganın Cheese Bank üzerindeki bütün USDC, USDT ve DAI’leri elini kolunu sallayarak çekmesini sağlıyor.
3,3 milyon dolarlık kazanç
Saldırgan bütün işlemi bitirdikten sonra 288.000 CHEESE tokenlerini UniswapV2 üzerinde 19.98 ETH ile değiştiriyor. Saldırgan bu işlemlerin sonunda 3,3 milyon dolar kazanca ve son olarak dYdX protokolüne ödemesi gereken 21.000 ETH’lik borca sahip oluyor. Daha sonra 21.000 ETH’yi dYdX’e aktaran saldırgan, flash loan sayesinde ciddi bir kazanç elde ediyor.
Daha önce Harvest Finance de benzer bir saldırıya uğramış ve ciddi bir kayıp yaşamıştı. Saldırı üzerine saldırı yapılması ve DeFi protokollerinin bundan ders çıkarmamaları ise yatırımcıların sektöre olan bakış açısını değiştirebilir. Bu yıl yapılan en büyük 11 DeFi saldırısı da yatırımcıların neden sektöre girmekten korktuğunu net bir şekilde gösteriyor.
Cheese Bank ekibi ise konu hakkında yaptığı açıklamada önemli ipuçları bulduklarını ve yakında detaylı açıklama yapılacağını vurguladı.
2)We are working with security experts, chain analysis providers and have filed investigations in related countries.
Important clues have been traced. We will not give up tracking and will release a detailed statement as soon as possible. https://t.co/6ISz4xdmbe— Cheese Bank (@CheeseBank2020) November 16, 2020