BNB Chain'in Four.Meme'i 180 bin dolarlık bir sömürüyle karşı karşıya: rapor

Meme coin dağıtımcısı Four.Meme, bir güvenlik ihlali sonrasında PancakeSwap'ta yeni token likidite havuzu lansmanlarını askıya aldı.

11 Şubat tarihli duyuruya göre, BNB Chain tabanlı platform, sorunu çözmeye çalışırken bazı operasyonlarını askıya almak zorunda kalmasına neden olan bir istismara maruz kaldı.

Bu güvenlik açığı yazıldığı sırada henüz yamalanmamıştı, ancak protokolün son güncellemesiyle geliştiriciler "sorunu hemen çözmeyi" başardılar.

Four.Meme, saldırının nasıl gerçekleştiğine veya saldırıda meydana gelen kayıpların boyutuna ilişkin ayrıntıları açıklamadı ancak kullanıcılarına iç fonların güvende olduğu ve "saldırıdan etkilenmediği" konusunda güvence verdi.

Ancak blockchain güvenlik firması PeckSheild'ın ilk tahminlerine göre, mevcut kayıpların değeri yaklaşık 183.000 dolar değerinde BNB token'ı olarak belirlendi.

CertiK'in saldırı sonrası güncellemesi, kayıpların 200 bin dolara yükseldiğini gösteriyor.

Ne oldu?

Blockchain güvenlik firması SlowMist'e göre, söz konusu istismar, Four.Meme'nin likidite havuzu geçişlerini nasıl ele aldığına ilişkin bir açıktan yararlanıyor.

Saldırganın, yeni bir token'ın piyasaya sürülmesinden önce aşırı fiyat dengesizliği olan PancakeSwap v3'te çarpık bir likidite havuzu kurduğu iddia ediliyor

"[Four.Meme] havuzun fiyatını kontrol etmediğinden, eklenen likidite kötü niyetli kullanıcı tarafından belirlenen fiyatı takip eder," diye ekledi. Bu, saldırganın havuzu boşaltmasına izin verdi.

Şu anda platform kısmen faaliyette kalmaya devam ediyor. Zincir üstü ticaret hala aktif ve kullanıcıların token alıp satmaya devam etmesine olanak sağlıyor.

Ancak PancakeSwap'ta likidite havuzu (LP) lansmanları, ekip bir düzeltme üzerinde çalıştığı için geçici olarak askıya alındı.

Four.Meme, LP lansmanlarının ne zaman devam edeceğini henüz belirtmedi ve ek ayrıntıların önümüzdeki duyurularda paylaşılacağını belirtti.

Ancak bazı topluluk üyeleri, Four.Meme ekibinin söz konusu istismara ilişkin çok sayıda uyarıyı görmezden geldiği iddiasıyla sert eleştirilerde bulundu.

Invezz'in gördüğü X gönderisine göre, saldırı onlarca meme coin'in likiditesini tüketmeden önce çok sayıda kullanıcı saatlerce şüpheli aktiviteyi işaretlemişti.

Bir kullanıcı, "Four.Meme'nin beceriksizliği" nedeniyle en az 50 token'ın tamamen silindiğini iddia etti.

Four.Meme'nin resmi duyurusundan birkaç saat önce yapılan bir diğer X paylaşımında ise doğrudan projenin resmi X hesabı etiketlenmiş ve sorunun derhal düzeltilmesi çağrısı yapılmıştı.

Paylaşımda paylaşılan zincir üstü veriler, söz konusu exploit ile bağlantılı büyük miktarda BNB transferini ortaya koyuyor.

DeFi sektörü risk altında kalmaya devam ediyor

Invezz'in daha önce bildirdiği gibi, kripto para sektöründeki saldırıların yaklaşık %53,5'i merkezi olmayan finans sektörünü hedef alıyordu.

DeFi'deki en büyük saldırılardan bazıları, Şubat 2024'ün başlarında blockchain tabanlı oyun platformu PlayDapp'a yönelik gerçekleştirilen saldırıdır.

Bilgisayar korsanları PlayDapp'in akıllı sözleşmelerini ele geçirerek sınırsız miktarda PLA token'ı bastı ve bunları piyasaya sürdü.

Bu istismar 290 milyon doların üzerinde kayba yol açtı ve platformu daha fazla kaybı azaltmak için yeni bir token sözleşmesine geçiş planı yayınlamaya zorladı.

Bu arada, Mayıs 2024'te Gala Games'e yapılan saldırı, bir saldırganın ayrıcalıklı bir hesap üzerindeki zayıf erişim kontrolünden yararlanmasının ardından yaklaşık 200 milyon dolarlık kayba yol açtı.