Merkeziyetsiz Finans (DeFi) platformlarının önemli isimlerinden biri olan Popsicle Finance, hacklendi. Popsicle Finance’in önde gelen ürünlerinden birinde bulunan bir açıktan faydalanan hackerlar, kabaca 25 milyon dolar ele geçirmeyi başardı.
Büyük soygunu ortaya çıkaran güvenlik araştırmacısı Mudit Gupta, hacklemenin karmaşık ancak açığın basit olduğunu söyledi. Twitter adresinden açıklamalarda bulunan Gupta, ayrıca aynı açığın başka platformlarda da bulunduğu ve diğer platformların da düzinelercesinde bulunan bu açıktan daha önce de faydalanıldığını belirtti.
Popsicle Finance exploited, hacker drained ~$25m. The hack was complex but the bug was simple. TX Hash: https://t.co/CqyVvCq5I7
Basically, Popsicle doesn't transfer the reward debt when users transfer their shares. This exposes multiple exploits, one of which was used here 🧵👇 pic.twitter.com/shdYdyemD9
— Mudit Gupta (@Mudit__Gupta) August 4, 2021
Popsicle Finance, kullanıcılarına sahip oldukları kripto paralar üzerinden faiz geliri kazandıran ürünlere sahip bir merkeziyetsiz finans protokolü. Hacklenme olayına karışan ürün Sorbetto Fragola, İtalyanca’dan “çilekli sorbe” olarak çevrilebilir. Popsicle Finance, sektörün önde gelen markaları olan Uniswap, Pancake Swap, Sushi Swap gibi platformlardan da destek alıyor.
Hacklenme olayını ortaya çıktıktan sonra önce incelediklerini söyleyen Popsicle Finance ekibi, sonradan attığı bir tweet ile bunu doğruladı. Aynı zamanda durumla ilgili bir inceleme raporu da internet sitelerinden paylaşıldı. Yayınlanan raporda bir hackerın Sorbetto Fragola havuzlarındaki likiditenin %85’ini çektiği belirtildi. Hackerın gerçekleştirdiği işlemi de paylaşan Popsicle Finance, raporlarında olayla ilgili detaylı bilgiler verdi. Platforma göre olay şu şekilde gerçekleşmiş:
- Kullanıcılardan gelen fonlar UniV3‘ye gönderilir.
- Popsicle Likidite Sağlayıcı (PLP) hisseleri ardından kullancıya verilir.
- Kontrat’a kullanıcı, ne kadar fon koyduğu ve koyduğu zamanki durumlar ile ilgili bilgi verilir.
- Kontrat kullanıcının havuzdaki payını ve toplam havuza orantılı olarak komisyonlardan gelen payını kontrol eder.
- Kontrat belirlenen parametrelere göre de komisyonları kullanıcılara dağıtır.
Popsicle Finance‘e göre hacker burada 3. maddedeki bir açıktan faydalanarak havuz likiditesinin önemli bir kısmını kendi hesabına aktarmayı başarmış. Yazılım seviyesinde olayın detaylarına ulaşmak için Popsicle Finance’in olay raporunu inceleyebilirsiniz.
Uniswap’ın en son versiyonu ile likidite sağlayıcıları, likidite eklemek istedikleri varlıklara spesifik fiyat parametreleri girebiliyorlardı. Örnek vermek gerekirse eğer ki siz Ethereum fiyatının belirli aralıklar içerisinde salınım yapacağını düşünüyorsanız, o aralığa likidite sağlayabiliyorsunuz. Bu durum da Uniswap’ın likidite sağlayıcılarını elde ettikleri alım satım komisyon gelirlerinden pay vermesiyle mümkün olabiliyordu. Genelde en çok kullanılan komisyon oranı %0.3 olarak belirleniyor. Ancak bu rakam değişiklik gösterebiliyor.
Bu özellik ile Uniswap kullanıcılarının artık sağladıkları likiditenin karşılıklarını daha isabetli bir şekilde optimize edebilmelerini teşvik ediyor. Örneğe devam edersek Ethereum fiyatı girilen salınım aralığının dışına çıkarsa kullanıcıların fiyat parametrelerini yeniden ayarlaması gerekir. Bu durum da hem alım satım komisyonlarından daha fazla para kazanan kullanıcılara ve hem de aynı zamanda derin bir havuzdan likidite çekerek fiyat kaymalarının önüne geçmek isteyen traderlara fayda sağlıyor. Ancak doğal olarak bu yapıların karmaşık doğası sebebiyle fazla bilgi sahibi olmayan kişiler için fiyat parametrelerini optimize etmek külfetli ve baş ağrıtıcı olabilir. İşte Popsicle Finance’in Sorbetto Fragola ürünü de bu aşamada devreye giriyor.
Küçük bir komisyon ücreti karşılığında kullanıcılar basitçe sahip oldukları kripto paraları Fragola’ya dönüştürebiliyor ve bu sayede Popsicle Finance onlar için sahip oldukları Fragolaları en kazançlı likidite havuzuna yönlendiriyor. Kullanıcılara bir nevi danışmanlık hizmeti veriliyor gibi düşünülebilir.
Ne yazık ki Fragola’nın sunmuş olduğu bu basitlik, güvenlik endişeleri sebebiyle tatsızlaştı. Projenin Discord kanalına yazan kullanıcılar portfolyolarının önemli bir kısmını kaybettiklerini ve bu durumun oldukça acı verdiğini belirttiler. Bununla birlikte projenin token’ı ICE da büyük bir düşüş yaşadı.
Bundan sonraki aşamalarda Popsicle Finance, kullanıcıları sahip oldukları varlıkları aciliyetle ETH/AXS, ETH/SLP, ETH/LINK ve EURt havuzlarından çekmeleri için uyardı.
1/
We are aware of the current exploit to Fragola. We will investigate and publish post mortem.
The other Popsicle Finance's contracts have not been exploited.
If you still have funds in the ETH/AXS, ETH/SLP, ETH/LINK or any EURt Pool please remove them immediately.
— WAGMI (@PopsicleFinance) August 4, 2021
Henüz daha çok yeni olan ve büyük ölçüde hizmet verse de teknolojisini tam olarak oturtamamış DeFi platformlarında yaşanan açıkları, hackleri veya kapatıp gitme gibi olayları duymaya devam ediyoruz. Her ne kadar platformlar güvenilir olsa da arka plandaki teknolojilerindeki eksiklikler kullanıcılarda oluşturulan güveni tekrardan yerine getirilemeyecek şekilde yaralıyor. Popsicle Finance de bu durumlardan ağzı yanan platformlardan biri oluyor. Ancak bu durum ne ilk ne de son olacağa benziyor.