DeFi Protokolüne 11 Milyonluk Saldırı: 1 Katrilyonun Üzerinde Stablecoin Basıldı!
Merkeziyetsiz finans (DeFi) protokolü Yearn Finance (YFI), aktif olmayan bir sözleşme aracılığıyla 11 milyon dolar değerinde saldırıya uğradı.
On-chain güvenlik platformu PeckShield, Yearn Finance tarafından ihraç edilen stablecoin yUSD özelindeki bir açığın saldırganların hedefi olduğunu duyurdu. Flash loan (flaş kredi) kullandığı düşünülen saldırgan, söz konusu açıktan yararlanarak 10 bin dolarlık Tether (USDT) karşılığında 1,2 katrilyon yUSD bastı. Başta bir diğer DeFi protokolü Aave’nin (AAVE) de olaydan etkilendiği düşünülürken saldırganın sadece varlıkları dönüştürmek için Aave’nin en eski sürümü V1’i kullandığı ortaya çıktı.
Likidite kıtlığı nedeniyle varlıkların hepsini hareket ettiremeyen saldırgan, sadece 11 milyon dolarlık kısmını Aave‘ye taşıyabildi. Saldırgan, 11 milyon dolar değerindeki varlığın takas işlemi için Aave’nin en eski sürümü V1‘i kullandı. Ele geçirilen stablecoinler arasında Dai (DAI), Tether (USDT), USD Coin (USDC), Binance USD (BUSD) ve Tru USD (TUSD) yer aldı.
Aave tarafından yapılan ilk açıklamada, saldırının V2 ve V3 üzerinde bir etkisi olmadığına değinilirken V1 kısmında yaşananların yakından takip edildiğine yer verildi.
Bu işlemin farkındayız ve Aave V2 ve Aave V3 üzerinde bir etkisi olmadı. Protokolün dondurulan en eski versiyonu olan Aave V1 üzerinde herhangi bir etkisinin olup olmadığını şimdi teyit ediyoruz. Daha fazla endişe olmaması için durumu yakından izliyoruz.
Konuyla ilgili bir diğer açıklama da Aave CEO‘su Stani Kulechov‘dan geldi. Aave V1’in sadece bir aracı olarak kullanıldığını ve işin özünde söz konusu sürümdeki likidite havuzlarının etkilenmediği vurgulandı.
Yearn Finance ekibi ise çok geçmeden istismarın 2020 yılında kullanımdan kaldırılan iearn sözleşmesinde gerçekleştiğini ve yaşananların tamamen “izole” tutulduğunu belirtti. Ekip, yaşanan bu saldırının aktif haldeki Yearn sözleşmelerini veya protokollerini etkilemediğini vurguladı:
Vaults v1 ve v2’den önce kullandığımız eski bir sözleşme olan ve 2020 de faaliyeti sonlandırılan iearn ile ilgili bir sorunu inceliyoruz. Bu sorun iearn’e özel görünüyor ve mevcut Yearn sözleşmelerini veya protokollerini etkilemiyor.