Blockchain verilerine göre, Solana tabanlı bir getiri protokolü olan Nirvana Finance, likidite havuzlarını manipüle etmek ve boşaltmak için flash krediler kullanarak 3.5 milyon dolarlık bir istismara maruz kaldı.
CoinGecko verilerine göre, protokolün yerel ANA tokeninin fiyatı son birkaç saat içinde %80’in üzerine düşerken, NIRV stablecoin’i ABD dolarına karşı sabit değerini kaybetti ve yazım sırasında 8 sente düştü.
Nirvana, ANA belirteçleri protokolden satın alınıp protokole satıldığından, kullanıcı talebine göre belirteçler oluşturup yok ederek kullanıcıların kilitli varlıklarında yıllık %100’ün üzerinde getiri elde etmelerini sağladı. Perşembe günkü saldırıdan önce protokolde 3.5 milyon doların üzerinde ANA kilitlendi.
Flaş krediler, saldırganların merkezi olmayan finans (DeFi) sistemlerinde açıklardan yararlanmaları için fon elde etmesinin popüler bir yoludur. Nisan ayında, Beanstalk stabilcoin protokolü 182 milyon dolardan çekildi ve geçen ay Ters Finanstan 1,2 milyon dolardan fazla para alındı.
Krediler, tüccarların üçüncü şahıslar yerine akıllı sözleşmeler kullanarak borç verenlerden teminatsız fon ödünç almalarına izin veriyor. Herhangi bir teminat gerektirmezler çünkü sözleşme, işlemin yalnızca borçlu borç verene geri ödediğinde tamamlanmış sayar. Bu, bir flaş kredide temerrüde düşen bir borçlunun akıllı sözleşmenin işlemi iptal etmesine neden olacağı ve paranın borç verene iade edileceği anlamına gelir.
Blok zinciri kaşiflerinden elde edilen veriler, saldırının kredi verme aracı Solend’den alınan 10 milyon USDC’nin üzerinde bir krediyle kullanıldığını gösteriyor. Bu noktada, 10 milyon doların üzerinde ANA basıldı veya oluşturuldu ve tüm miktar, Nirvana’nın hazine cüzdanından 3.5 milyon dolar değerinde tether (USDT) almak için değiştirildi.
Bu, hazinenin 10 milyon USDC infüzyonunun gerçek olduğunu düşündüğü için mümkün oldu. Ancak öyle değildi ve bu nedenle protokol, hazinenin likiditesini serbest bırakmak için kandırıldı.
Saldırgan, hızlı bir krediyle 10 milyon USDC’nin üzerinde kaynak sağladı ve Nirvana’nın likidite havuzunu boşalttı. (Solan FM)
Nirvana’ya kilitlenen toplam değer, saldırının ardından Avrupa sabah saatlerinde 7 sente düştü. DeFi Llama’dan elde edilen veriler, tüm likidite havuzunun etkin bir şekilde boşaltıldığını gösteriyor.
Nirvana’ya kilitlenen değer, saldırının ardından 62 sente düştü. (DeFi Lama)
10 milyon USDC, istismardan sonra Solend’e iade edildi. Çalınan fonlar, Solana’yı diğer ağlara bağlayan bir blok zinciri aracı olan Wormhole kullanılarak Ethereum ağına aktarıldı ve Ethereum tabanlı bir stabilcoin olan DAI’ye dönüştürüldü.
Saldırgan adresi – 0xB9AE2624Ab08661F010185d72Dd506E199E67C09 – şu anda 3,5 milyon doların üzerinde DAI’ye sahip, blockchain verilerine göre.
Nirvana’nın ticaret işlevleri, protokolün Telegram kanalındaki yöneticilerin mesajlarına göre, saldırının ardından Avrupa saatlerinde geliştiriciler tarafından askıya alındı.
Nirvana, yorum taleplerine yayın saatine kadar yanıt vermemişti.
