Yazar: 
DeFi alanında yine bir “rugpull” gerçekleşti. Bu hafta sonunun rugpull kurbanı, ForceDAO oldu.
Yine bir DeFi projesi için felaket
ForceDAO büyük bir saldırıya uğradı. Saldırı, xFORCE sözleşmesinin kodundaki bir hatadan kaynaklandı. Hata, FORCE tokenleri bulundurup bulundurmadığına bakılmaksızın herkesin “depozito” işlevini kullanmasına izin veriyor. Bu durum, kasadaki herhangi bir token’ı kilitlemeden sözleşmeden, yalnızca sözleşme nedeniyle, xFORCE token’larını basmanın mümkün olduğu anlamına geliyor.
Dolayısıyla herkes sözleşmedeki “geri çekme” işlevini kullanarak bu token’ları FORCE ile takas edebiliyor.
Bu sabah erken saatlerde, çok sayıda saldırganın bu açıktan yararlandığı belirtiliyor. Bir saldırgan, 24 milyon dolarlık 14.8 milyon FORCE aldı. Ancak o zamandan beri, parayı havuza iade etti. Bununla birlikte, bu açıktan yararlanan diğer 4 kişi 6.75 milyon token’ı ele geçirdi ve fonları çoktan çeşitli borsalara aktarıp alım satıma başladı. Beyaz şapkalı hacker’ın bu açığı bulmasıyla likidite düştü. Bu da diğer saldırganların FORCE’lardan önemli ölçüde daha az para kazandığı anlamına geliyor.
Polymath Network’ün blockchain ekibinin lideri Mudit Gupta, saldırıyı aşağıdaki tweet dizisinde detaylandırdı:
xFORCE contract from @force_dao hacked and drained by a whitehacker. In the FORCE token, the transfer functions return false rather than reverting when the sender doesn't have enough balance. The xFORCE contract assumes FORCE will revert and does not handle the returned value. pic.twitter.com/lPo9vJ48bs
— Mudit Gupta (@Mudit__Gupta) April 4, 2021
FORCE sert düştü
ForceDAO, dün FORCE token’larının aktif Ethereum kullanıcılarına dağıtıldığı bir airdrop düzenlemişti. Bu sabah erken saatlerde token, 2.30 dolardan işlem görüyordu ancak o zamandan beri düşüş yaşadı. 0.024 dolar seviyelerine kadar gerileyen token, yazım sırasında %90’lık bir kayıp ile 0.30 dolardan işlem görüyor.
24 saatlik FORCE grafiği. Kaynak: CoinGeckoKötü niyetli saldırganlardan biri, merkezi kripto para borsası FTX’e bağlı bir adres kullandı. Bu durum, fonların kurtarılabileceğine dair umut verdi. Diğerleri ise merkezi olmayan borsalar 1inch ve SushiSwap’i kullandı.
ForceDAO, saldırıyı aşağıdaki tweet ile doğruladı. Ekip, ayrıntıların daha sonra paylaşılacağını belirtti.
ATTENTION
Our team is aware of the xFORCE contract exploit and has identified the nature of the issue.
There are no further funds available on the xFORCE contract to be exploited.
All other vaults are safe.
We will provide a post-mortem and next steps over the coming hours.
— Force (@force_dao) April 4, 2021
https://kriptokoin.com/bir-defi-projesi-daha-saldiriya-ugradi/
