Merkezi olmayan bir finans platformu olan WOOFi, 5 Mart'ta Arbitrum ağındaki takas özelliğini hedef alan bir saldırı yaşadı. Olay, kripto varlıklarında yaklaşık 8.75 milyon dolarlık bir kayba neden oldu.

Platform, bu fonları geri almak için çalışmalar başlattığını ve istismarcıya yüzde 10 beyaz şapka ödülü teklif ettiğini söyledi. Ek olarak, ek bilgi sağlayan herkese Arkham İstihbaratı'na bir ödül verildi.

WOOFi'nin İstismarı

Otopsi raporuna göre raporWOOFi Takaslarındaki fiyatlandırmayı yöneten sPMM algoritması Arbitrum'da istismar edildi. Saldırı, WOO'nun fiyatını manipüle etmek için düşük likiditeden yararlanan bir dizi flaş krediyi kapsıyordu; bu da sömürücünün kredileri daha düşük bir maliyetle geri ödemesine olanak tanıyordu.

İstismarcı yaklaşık 7.7 milyon WOO ve diğer varlıkları ödünç alarak tokenları WOOFi'de sattı. Bu eylem, WOOFi'nin sPMM'sinin WOO'yu hatalı bir şekilde son derece düşük bir fiyata ayarlamasına neden oldu ve bu da istismarcının aynı işlemde 10 milyon WOO'yu neredeyse maliyetsiz olarak takas etmesine olanak sağladı.

İstismarcı bu saldırıyı kısa bir süre içinde üç kez tekrarladı ve flaş kredilerin geri ödenmesinden sonra yaklaşık 8.75 milyon dolar kar elde etti.

WOOFi, ikinci versiyonundaki sPMM'nin, kaymayı düzenlemek ve havuz dengesini korumak için kullanıcıların ticari kavramsal değerlerini dikkate alarak oracle fiyatlarının yerini almak üzere tasarlandığını ortaya çıkardı.

Bununla birlikte, bir aksaklık beklenen aralıktan (0.00000009 $) büyük bir sapmaya yol açtı ve genellikle Chainlink'e karşı gerçekleştirilen geri dönüş kontrolü WOO token fiyatını içermiyordu.

Muhafazakar Listeleme Stratejisi meyvesini veriyor

WOOFi ayrıca sPMM'nin 2021'deki tanıtımından bu yana, özellikle yeni varlıkların listelenmesindeki "muhafazakar yaklaşım" nedeniyle olaysız olduğunu söyledi. Platformun sıkı listeleme süreci, ETH gibi büyük varlıklarla bir istismar başlatmayı neredeyse imkansız hale getirdi.

Bununla birlikte, yakın zamanda Arbitrum'da WOO için bir borç verme piyasasının başlatılmasını ve bunun yanı sıra ağın başka yerlerindeki WOO tokenleri için nispeten sınırlı likidite desteğinin de istismarı ekonomik olarak uygun hale getirmesini suçladı.

WOOFi Swap ondan fazla ağda çalışır durumdayken, Arbitrum'dan başkası hem WOO tokenını hem de WOO borç verme piyasasını içermiyordu ve aynı istismarın alternatif ağlarda kopyalanmasını etkili bir şekilde engelledi.

Bu arada, CertiK tarafından yakın zamanda yayınlanan bir raporda kripto sektörünün acı Açıklardan yararlanma, hackleme ve dolandırıcılık nedeniyle Şubat ayında yaklaşık 160 milyon dolar kayıp yaşandı. Bu rakamlar, fiyatlardaki artışa rağmen Ocak ayına kıyasla hafif bir düşüşü yansıtıyor. Bu kayıplar arasında flaş krediler yalnızca 138,000 doları oluşturdu.