Blockchain güvenlik şirketi PeckShield’in yayımladığı verilerine göre, Solana’daki merkeziyetsiz (DeFi) yield protokolü olan Nirvana Finance ”flash loan” saldırısına maruz kaldı.
Nirvana ”flash loan” saldırısı sonrasında 3,5 milyon dolar zarar gördü. Bu zarar yerel tokenı ANA ve stablecoin NIRV’in büyük düşüşler yaşamasına sebep oldu. ANA token %89 düşüşle 8,97 dolardan 0,93 dolara düşerken, stablecoin NIRV sabitlendiği ABD doları değerinin yaklaşık %90’ını kaybetti.
Flash Loan Saldırısının Perde Arkası
Bilgisayar korsanının yaptığı saldırı on*chain üzerinden takip edildi. Saldırganın 10 milyon dolar değerinde ANA tokenı mintlemek için USDC’de 10 milyon dolarlık bir flash loan kullandığı görülüyor.
Flash loan; aynı blokta geri ödenirse, büyük miktarlarda sermayeyi düşük maliyetle ödünç almanıza izin verir. Bu flash loan, Solend Protokolü ile güvence altına alındı.
Saldırgan daha sonra protokolün oracle beslemesini manipüle etti ve ANA tokenların fiyatını olduğundan daha yüksek gösterdi. Bu da saldırganın varlıklarının 10 milyon doların üstüne çıkmasına sebep oldu. Saldırgan amacına ulaştıktan sonra ANA tokenları USDT cinsinden 13,49 milyon dolar ile değiştirdi.
Saldırganın yapmış olduğu işlem sonrası Nirvana kasasından 3,49 milyon dolar fazla para çıkmış oldu. Saldırgan sonrasında çektiği 10 milyon dolarlık krediyi geri ödedi ve 3,49 milyon dolarlık kârı Wormhole aracılığıyla Ethereum cüzdan adresine gönderdi ve onu da DAI stablecoinine çevirdi.
Nirvana Finance, olay kamuoyuna yansıdıktan sonra istismar hakkında resmi bir açıklama yapmadı. Solend ise olaydan haberdar olduğunu ve Nirvana ekibiyle iletişim içinde olduklarını, protokolünün istismardan etkilenmediğini söyledi.
We're aware of a @nirvana_fi exploit that made use of Solend flash loans. We're in contact with the team to help in any way we can. Funds on Solend are safe.
— 🙏🚫 Solend (we're hiring!) (@solendprotocol) July 28, 2022
Birçok DeFi protokolü genellikle flash loan saldırısına maruz kalıyor. Bir Ethereum stablecoin projesi olan Beanstalk, bu yıl nisan ayında kripto para alanında kaydedilen en büyük flash loan istismarında tam 182 milyon dolar kaybetmişti.
Benzer şekilde ApeCoin de 17 Mart 2022 tarihinde bir flash loan saldırısına maruz kalmıştı.
Bir saldırgan BAYC token almak için flash loan (bir nevi kredi) kullandı. NFT satın almak için BYAC tokenlarını kullandı. Sonrasında bu NFT’ler ile APE token airdropuna katıldı. APE tokenları aldıktan sonra elindeki BAYC NFT’lerini BAYC tokenlara çevirdi. Bu tokenlar ile de aldığı flash loan’ı ödedi.
Yapılan bu işlemler sonrasında saldırganın airdroptan aldığı APE tokenlar yanına kâr kaldı.
Saldırgan bu süreçte tek bir işlemde kabaca 667.200 dolar kâr etti.