Avalanche blockchain’i üzerinde gerçekleşen flash loan saldırısı sonucunda 370 bin dolarlık varlık saldırganlar tarafından ele geçirildi.
Blockchain günvenlik firması CertiK‘in 7 Eylül tarihinde paylaştığı verilere göre, Avalanche ağındaki çeşitli likidite sağlayıcıları ve bir akıllı kontrattan flash loan sistemi ile 370 bin USDC çalındı. Saldırının odağında Avalanche blockchain’i üzerinde staking hizmeti veren Nereus Finance‘in yer aldığı bildiriliyor. Şimdiye kadar gerçekleşen birçok flash loan saldırısında olduğu gibi hacker’ın kimliği henüz saptanamadı.
Böyle bir istismarı yapabilmek için büyük sermaye gerekli olduğu biliniyor. Saldırganın o sermayeyi de ufak bir komisyonla flash loan sayesinde çözdüğü anlaşılıyor. Snowtrace verilerine göre saldırganın, saldırıyı başlatabilmek için ufak bir işlem ücreti ile 51 milyon dolarlık flash loan aldığı ve saniyeler içinde borcunu manipülasyon yaparak ödedikten sonra arta kalan parayı kendi hesabına çektiği anlaşılıyor.
Saldırıda kullanılan flash loan sistemini kısaca özetlemek gerekirse; saldırganın borç verme platformundaki bir akıllı kontrat açığını kullanarak saniyelik işlemler içinde aldıkları borcu ödemiş gibi gösterip bu arta kalan parayı kendi hesaplarına çekmesiyle sonuçlanır. Flash Loan alanına yönelik saldırılar, bir merkeziyetsiz finans veya kripto para platformunun güvenlik açıklarından yararlanılarak da gerçekleştirilebilir. Saldırganlar, borcu tek bir işlemde ödemek zorunda olduklarını bildikleri için genellikle süreçte çok hızlı davranırlar.
Söz konusu saldırı hakkında Ava Labs’den şu ana kadar henüz bir açıklama gelmedi.