Merkeziyetsiz finans (DeFi) ekosistemi, 2 Eylül itibarıyla art arda gelen iki saldırı ile sarsıldı. BNB Chain üzerinde faaliyet gösteren Venus Protocol yaklaşık 27 milyon dolar, Ethereum tabanlı merkeziyetsiz borsa Bunni ise güncellenen verilere göre 8,4 milyon dolar kayıp yaşadı.
Venus Protocol’de 27 milyon dolarlık kayıp
On-chain analizlere göre saldırganlar, Venus Protocol’ün Core Pool Comptroller kontratını kötü niyetli bir adrese güncelledi. Bu sayede protokolün vUSDC ve vETH gibi token’ları saldırganın kontrolündeki adrese aktarıldı.
Çalınan fonlar şu anda saldırganın cüzdanında bekliyor ve henüz farklı varlıklara dönüştürülmedi. Güvenlik ekipleri fonların hareketlerini yakından izliyor. Protokol ekibi veya topluluk tarafından resmi bir açıklama yapılmadı.
Venus Protocol, kullanıcıların stablecoin ve büyük kripto varlıkları yatırarak faiz elde ettiği, teminat karşılığı kredi alabildiği BNB Chain’in en büyük para piyasalarından biri konumunda. Yerel token XVS, yönetişim ve teşviklerde rol oynuyor. Saldırının ardından XVS fiyatı 6 dolar seviyelerine gerileyerek günlük bazda %5’in üzerinde kayıp yaşadı.
Bunni’de 8,4 milyon dolarlık hack
Günün ikinci saldırısı ise Ethereum tabanlı merkeziyetsiz borsa Bunni’yi hedef aldı. İlk raporlarda kayıp 2,3 milyon dolar olarak açıklansa da daha sonra güncellenen verilere göre toplam kaybın 8,4 milyon dolara ulaştığı belirtildi.
Saldırgan, Bunni’nin likidite dağılım fonksiyonundaki (Liquidity Distribution Function – LDF) bir zafiyeti kullanarak kontrat hesaplamalarını manipüle etti. Bu yöntemle protokolden fazla pay çekilerek fonlar saldırganın kontrolüne geçti. Çekilen varlıkların Ethereum ve Unichain ağları arasında taşındığı raporlandı.
Olayın ardından Bunni ekibi, güvenlik önlemi olarak tüm akıllı kontratları durdurduğunu açıkladı. Saldırının ardından Bunni token fiyatı sert düşüş gösterdi ve %30’dan fazla değer kaybıyla 0,0015 dolar seviyelerine geriledi.
Güncel durumu şu şekilde özetleyebiliriz:
Protokol | Kayıp Tutarı | Saldırı Yöntemi | Mevcut Durum |
Venus Protocol | 27 milyon dolar | Comptroller kontrat güncellemesi | Fonlar saldırgan cüzdanında, resmi açıklama yok |
Bunni | 8,4 milyon dolar | Likidite dağılım fonksiyonundaki hata | Akıllı kontratlar durduruldu, soruşturma sürüyor |
