DeFi protokolü Origin’e saldırı, büyük kayba yol açtı

Sabit coin projesi Origin Dollar (OUSD) salı gecesi TSİ sabaha karşı 3’te yaşadığı saldırı sonucu, kurucularının ve çalışanlarının 1 milyon dolarlık fonunun da dahil olduğu yaklaşık 7 milyon dolarlık büyük bir kayıp yaşadı.

CoinGecko’daki bilgilere göre, proje ekibi para yatırma işlemlerini devre dışı bırakırken projenin token’ı da saldırının ardından yüzde 17 düştü. Origin Protocol de yatırımcıları, Uniswap ya da Sushiswap’tan OUSD almamaları konusunda uyardı. Bilindiği üzere OUSD; USDT, USDC ve DAI gibi sabit coin’ler tarafından desteklenen ve bir koruma hesabı olması için tasarlanan bir proje.

Saldırı nasıl gerçekleşti?

Etherscan ve proje blog’unda verilen bilgilere göre, bu gece gerçekleşen saldırıda OUSD kontralarındaki hatalar ve birden fazla işi tek bir işleme sığdırabilen flash loan’lar (flaş krediler) kullanıldı. Flaş krediler, aynı işlem (transaction) içinde alınan ve yine geri ödemesi aynı işlemde yapılan kredileri ifade diyor. Kullanıcılar, bu kredileri teminatsız olarak kullanabiliyor. Blog’da verilen bilgilere göre saldırıda, Uniswap ve Sushiswap’ta USDT için yeni çıkarılan token’lar takas edilmeden önce, protokoldeki OUSD token’larının arzı yapay olarak artırıldı.

Konuyla ilgili yapılan güncellemede şu ifadeler kullanıldı:

“Saldırgan, ilk büyük para basımının ardından fonların OUSD’ye gitmesinden sonra ikinci para basımı esnasında bir arz ayarlama (rebase) işlemi yaptı. Bu durum, sözleşmeye dahil olan herkes için çok büyük bir arz ayarlaması getirdi. Daha sonra saldırgan, sözleşmede olması gerekenden daha fazla olan, ilk büyük OUSD varlığını elde etti.”

“Paraların iadesi için biraz sabır bekliyoruz”

Konuyla ilgili gelen ilk haberler, Origin Protocol’den 3.5 milyon dolarlık bir “flash loan” saldırısına veya fiyatlandırma oracle saldırısına maruz kaldığını belirtiyordu.

Saldırgan flash loan kullansa da, Origin teknik anlamda sorunun, oracle manipülasyonundan kaynaklanmadığını belirtti.

Origin Protocol kurucu ortağı Josh Fraer konuyla ilgili yaptığı açıklamada şu ifadeleri kullandı:

“Bu herkes için zor bir gündü ancak biz buradayız. Yeniden yapılandırma işlemleri için çalışacağız. Elimize yeni bilgiler ulaştıkça bunları toplulukla da paylaşmaya devam edeceğiz. Topluluğun desteklerinden ötürü onlara teşekkür ediyoruz. Fonların gerekli kişilere iade edilebilmesi için herkesten biraz sabır bekliyoruz.”

Her geçen gün DeFi projelerine dönük yeni bir saldırı olayı ortaya çıkıyor. Henüz birkaç gün önce DeFi protokolü Value DeFi hack’lenmiş ve saldırgan 7.4 milyon dolar değerinde DAI çalmıştı.