Belt Finance, siber saldırı kurbanı olan son Binance Smart Chain tabanlı merkeziyetsiz finans (DeFi) protokolü oldu.
DeFi saldırılarını inceleyen Rekt Blog, siber saldırganın protokolün teminatlarının değerini hesaplayan kasalarındaki bir hatadan faydalandığını ve BSC üzerinde gerçekleştirilen anlık kredi saldırılarına bir yenisini eklediğini açıkladı:
“6,3 milyon dolar, doğrudan siber saldırganın eline geçti.”
Rekt, PancakeSwap üzerinde toplamda 385 milyon BUSD'lik sekiz adet anlık kredi saldırısı düzenlendiğini açıkladı. BeltBUSD kasasının "Elipsis" stratejisi, platform üzerinde en az talebi gördüğü için suistimal edildi.
Belt Finance, token yatıranlara pasif geliri sağlamak için optimal getiri sağlayıcı kullanıyor. Elipsis ise Binance Smart Chain üzerinde düşük slipaj ile stablecoin alıp satmayı mümkün kılan bir merkeziyetsiz borsadır. BeltBUSD kasası, getiri sağlamak için BSC tabanlı protokoller Venus, Alpaca ve Fortube üzerindeki sermayeyi de kullanıyor.
SushiSwap geliştiricisi Mudit Gupta, siber saldırıyı incelediği gönderisinde söz konusu anlık kredi saldırısının "en kompleks siber saldırılardan biri" olduğunu söyledi.
Belt’in kasaları, kullanılan her bir strateji için hedef bakiye ile faaliyet gösteriyor. Kullanıcılar kasaya para yatırdığında, bu sermaye en az talep gören stratejiye ayrılıyor. Biri kasadan para çektiğinde ise en çok talep gören stratejiden çekiyor.
Gupta, siber saldırganın birden fazla stratejide işlem yapmak için sistemi suistimal ettiğini ve anlık krediyi geri ödemeden önce havuzların değerini şişirerek, 6 milyon dolardan fazla kâr elde ettiğini açıkladı:
“Bu sorun, Belt Elipsis'i düzgün entegre edemediği için yaşandı. Belt Finance geçtiğimiz ay da benzer bir sorun yaşamıştı, fakat o zaman sorun, Venus ile hatalı entegrasyondu. Belt hatasız bir entegrasyon yapacak mı merak ediyorum.”