Magic Internet Money, Flash Loan Saldırısıyla Soyuldu

DeFi ekosisteminin önemli projelerinden biri olan Abracadabra, “Magic Internet Money” (MIM) adlı stablecoin protokolünün akıllı sözleşmelerinde tespit edilen bir açık nedeniyle büyük bir saldırıya uğradı. Yapılan açıklamaya göre, hacker’lar yaklaşık 6.262 ETH değerinde kripto parayı çalarak, 13 milyon dolarlık bir zarara yol açtı. Güvenlik firması PeckShield’in analizine göre saldırı, GMX V2 havuzlarında yer alan “cauldron” adlı sözleşmelerin tasarımındaki bir açığı manipüle ederek gerçekleştirildi. Bu tür saldırılarda yaygın olarak kullanılan flash loan (ani kredi) tekniğiyle birlikte saldırganın kısa sürede büyük kazanç elde ettiği belirtiliyor​.

Magic Internet Money Flash Loan Taktikleriyle Kendini Tasfiye Etti

Güvenlik araştırmacısı William Li, saldırganın yedi adımlı bir süreçle Magic Internet Money protokolünde boş teminatlı bir borç alıp, ardından kendi hesabını tasfiye ederek kâr sağladığını belirtti. Bu yöntem, özellikle flash loan ile birlikte kullanıldığında sistemin zayıf noktalarına ciddi şekilde zarar verebiliyor. Flash loan; kullanıcıların teminatsız kredi alıp bunu tek bir blok içinde geri ödemesine olanak tanıyan bir DeFi uygulaması olarak biliniyor.

GMX V2’nin sipariş oluşturma ve tamamlama arasında geçen zaman aralığında oluşan güvenlik açığı, saldırganın müdahalesine fırsat verdi. Saldırgan, tasfiye sürecinde sistemde teminat bulunmamasına rağmen bu işlemden kazanç elde etti. Bu durum, DeFi protokollerinde işlem akışlarının daha da sıkı denetlenmesi gerektiğini bir kez daha ortaya koydu.

Magic Internet Money

GMX Sistemi Etkilenmedi, Fonlar Ethereum’a Aktarıldı

GMX geliştiricilerinden Jonas ALA, saldırının GMX’in ana sözleşmelerine zarar vermediğini açıkladı. Saldırının yalnızca Abracadabra’nın GMX V2 ile entegre olan sözleşmelerini hedef aldığı belirtildi. Buna rağmen saldırı, DeFi projelerinin farklı protokollerle entegrasyonlarında güvenlik açıklarının nasıl risk oluşturabileceğini gözler önüne serdi.

Çalınan fonlar saldırıdan sonra Arbitrum ağından Ethereum ağına aktarıldı. Ocak 2024’te de benzer bir saldırıyla MIM stablecoin’i yaklaşık 6.5 milyon dolarlık zarara uğramıştı. Bu son olay, protokolün tekrar güvenlik açığı ile gündeme gelmesine neden oldu. DeFi topluluğu ise olayın ardından protokol güvenliği ve flash loan saldırılarına karşı alınacak yeni önlemleri tartışmaya başladı.