DeFi alanında tekrar bir “rugpull” gerçekleşti. Bu hafta sonunun rugpull kurbanı, ForceDAO oldu.
Tekrar bir DeFi projesi için felaket
ForceDAO büyük bir atağa uğradı. Akın, xFORCE kontratının kodundaki bir yanlıştan kaynaklandı. Yanılgı, FORCE tokenleri bulundurup bulundurmadığına bakılmaksızın herkesin “depozito” fonksiyonunu kullanmasına müsaade veriyor. Bu durum, kasadaki rastgele bir token’ı kilitlemeden mukaveleden, sadece kontrat nedeniyle, xFORCE token’larını basmanın mümkün olduğu manasına geliyor.
Hasebiyle herkes kontrattaki “geri çekme” fonksiyonunu kullanarak bu token’ları FORCE ile takas edebiliyor.
Bu sabah erken saatlerde, çok sayıda saldırganın bu açıktan yararlandığı belirtiliyor. Bir saldırgan, 24 milyon dolarlık 14.8 milyon FORCE aldı. Lakin o vakitten beri, parayı havuza iade etti. Bununla birlikte, bu açıktan yararlanan başka 4 kişi 6.75 milyon token’ı ele geçirdi ve fonları çoktan çeşitli borsalara aktarıp alım satıma başladı. Beyaz şapkalı hacker’ın bu açığı bulmasıyla likidite düştü. Bu da öteki saldırganların FORCE’lardan kıymetli ölçüde daha az para kazandığı manasına geliyor.
Polymath Network’ün blockchain takımının önderi Mudit Gupta, saldırıyı aşağıdaki tweet dizisinde ayrıntılandırdı:
FORCE sert düştü
ForceDAO, dün FORCE token’larının faal Ethereum kullanıcılarına dağıtıldığı bir airdrop düzenlemişti. Bu sabah erken saatlerde token, 2.30 dolardan süreç görüyordu lakin o vakitten beri düşüş yaşadı. 0.024 dolar düzeylerine kadar gerileyen token, yazım sırasında %90’lık bir kayıp ile 0.30 dolardan süreç görüyor.
Makûs niyetli saldırganlardan biri, merkezi kripto para borsası FTX’e bağlı bir adres kullandı. Bu durum, fonların kurtarılabileceğine dair umut verdi. Öbürleri ise merkezi olmayan borsalar 1inch ve SushiSwap’i kullandı.
ForceDAO, saldırıyı aşağıdaki tweet ile doğruladı. Takım, detayların daha sonra paylaşılacağını belirtti.