BSC Ağındaki Yeni Flash Loan Saldırısı: Bogged Finance

[gospodin]

bogged finance'yi poocoin gibi kullanıyordum. fiyatı her geçen gün artan bu dandik ara yüzlü sitenin tokeni en son 20 dolar civarındaydı. bu sabah coinmarketcap'ta fiyatı düşenlere baktığım zaman 1 doların altına indiğini gördüm. aha bir olaylar gerçekleşmiş derken google'ye baktığım zaman flash loan saldırısına uğradığını öğrendim. forumda kimsenin ilgisini çekmemesi de oldukça ilginç. şu an fiyat olarak 0,0001637 dolar görülüyor. tamamen patlamış yok olmuş adamlar.

3 milyon doların tokatlandığından bahsediyorlar: https://tr.cointelegraph.com/news/binance-smart-chain-based-defi-platform-suffers-3m-flash-loan-attack

bsc ağındaki flash loan saldırıları (hatırladığım kadarıyla)

- spartan
- pancakebunny
- bogged finance

belli ki herifler bsc ağını gözüne kestirip tek tek patlatmaya başladı.

https://www.coingecko.com/tr/coins/bogged-finance

Olay, saldırganın kendi kendine transfer yoluyla dengeyi artırmasına izin veren bir hatadan kaynaklanıyordu. Flashloan saldırısı gibi görünse de flashswap destekli bir saldırıdır.

https://kriptokoin.com/bu-altcoin-hacklendi/

[1715258965]

1715258965

[SUPERSAIAN]

Şu sıralar piyasanın düşüşüyle beraber bsc ağında ciddi hack olaylari veya flash loan saldırıları gördük devamıda gelecek gibi duyuyor. geçen günde defi100 hacklenmişti bake idosuydu. hepsinin zamanlaması piyasanın böyle bir durumunda olması benim aklıma başka başka soru işaretleri getiriyor. Hepsini içerden bilerek mi patlatıyorlar bu projeleri, ekipler planlı mı gerçekleştiriiyor bu saldırıları gibi. Bu projelerin coğuda certik lisanslı diye biliyorum eğer sözleşmelerde bir eksiklik açıklık varsa bu tarz kurumlarnın sertifikaları ne kadar güvenilir ?

[gospodin]

https://bscscan.com/tx/0x47a355743456714d9abc23e1dff9e26430e38e84cc8b8e0a0b4ca475918f3475

arkadaş ortamı böyle dağıtmış. sözleşmede yer alan bir açık sayesinde milletin ekmeğine kan doğramış resmen. tamam bu herifler sabah akşam her yere girip çıkıyorlar ama nedense bu tip açıklar bana hep bilerek yapılıyor gibi geliyor.

[Nadziratel]

belli ki herifler bsc ağını gözüne kestirip tek tek patlatmaya başladı.

Belli ki birileri işini iyi yapmıyor.
Belli ki bu akıllı kontrat yazma işinde "bilerek" ya da bilmeyerek bir gaflet durumu var. Açıkçası ben artık bilerek bırakıp, para toplandıktan sonra saldırı aldık diyerek parayı hüplettiklerini düşünmeye başlıyorum. Çünkü bu kadar ayan beyan olan bir şeyi nasıl olur da önlemek için önceden tedbirli davranmazlar aklım almıyor.

[Bthd]

Flash loan ve benzeri saldırıların gerçekleşmesine sebep olan temel sorun aslında var olan proje için yeterli alt yapıya sahip olmayan proje ekipleridir. Akıllı kontrat temel işlevini yerine getiriyor gibi görünse de bir çok açığa sahip olabiliyor. Son zamanlarda oluşan yoğun ilgiden yararlanmak için bir çok kişi niteliksiz projeler oluşturuyor.

İnanması zor ancak bazı ekiplerin içerisinde bir yazılımcı bile yok ve projelerinin temeli olacak olan akıllı kontratı çok düşük ücretlerle yazan ekip dışı kişilere yazdırıyorlar. Ve yine ekipte yazılımcı bulunmadığı için bu kontratı denetleyebilecek bir mekanizmada olmuyor çoğu zaman. Bu tip vizyonsuz projeler yoğun ilgiden dolayı milyon dolarları yönetmeye başladığında da bazen kontratı yazan kişi tarafından bazen ekibin kendisi tarafından bazen de ekosistemde yer alan kötü niyetli kişiler tarafından yok ediliyor. Sonuçta zarar gören sadece yatırımcılar oluyor.

Paranızın değerini bilin, kontrolden geçmemiş akıllı kontrata sahip projelere yatırım yapmaktan uzak durun.

[berkecan88]

hacklenenlerın hepsı controlden geçmiş adresler.bu işte baska parmak var mk.
kendılerı yapıyorlar ve denetım şirketleriyle ortaklar bence.bende bu denetim şirketleri kontrolune guvenıyordum artık 3 kere dusuncem

[ashti]

Para kazancam derken sifiri buluyoz. Saldiriyi ekip yapmadiysa yeni  adresle devam ediyorlar. Ekip yapmissa gule gule zaten. Bi daha gozukmuyolar.

[jopen]

Haberler peş peşe gelmeye devam ediyor galiba.

AutoShark'da patlamış. Tam bakamadım içeriğine Flash Loan'dan dolayı mı yoksa başka bir şey mi var altında. Ama zaten bunların böyle uzun ömürlü olacağını düşünülmezdi.

Zararı olan varsa aramızda geçmiş olsun.

https://bscscan.com/tx/0xfbe65ad3eed6b28d59bf6043debf1166d3420d214020ef54f12d2e0583a66f13

Medium üzerinden paylaşmışlar:
https://medium.com/autosharkfin/how-autoshark-got-economically-exploited-3c644de5073a

[muslol67]

Flash loan ve benzeri saldırıların gerçekleşmesine sebep olan temel sorun aslında var olan proje için yeterli alt yapıya sahip olmayan proje ekipleridir. Akıllı kontrat temel işlevini yerine getiriyor gibi görünse de bir çok açığa sahip olabiliyor. Son zamanlarda oluşan yoğun ilgiden yararlanmak için bir çok kişi niteliksiz projeler oluşturuyor.

İnanması zor ancak bazı ekiplerin içerisinde bir yazılımcı bile yok ve projelerinin temeli olacak olan akıllı kontratı çok düşük ücretlerle yazan ekip dışı kişilere yazdırıyorlar. Ve yine ekipte yazılımcı bulunmadığı için bu kontratı denetleyebilecek bir mekanizmada olmuyor çoğu zaman. Bu tip vizyonsuz projeler yoğun ilgiden dolayı milyon dolarları yönetmeye başladığında da bazen kontratı yazan kişi tarafından bazen ekibin kendisi tarafından bazen de ekosistemde yer alan kötü niyetli kişiler tarafından yok ediliyor. Sonuçta zarar gören sadece yatırımcılar oluyor.

Paranızın değerini bilin, kontrolden geçmemiş akıllı kontrata sahip projelere yatırım yapmaktan uzak durun.

Sıkıntı şurada ki audit yapılan bazı kontratlarda patlıyor. İşte bunlara çözüm bulunması lazım.
Sanırım audit firmalarının daha yüksek kapasiteli olması lazım yoksa bu kontratlar daha çok patlar.

[edandrada]

Flash loan ve benzeri saldırıların gerçekleşmesine sebep olan temel sorun aslında var olan proje için yeterli alt yapıya sahip olmayan proje ekipleridir. Akıllı kontrat temel işlevini yerine getiriyor gibi görünse de bir çok açığa sahip olabiliyor. Son zamanlarda oluşan yoğun ilgiden yararlanmak için bir çok kişi niteliksiz projeler oluşturuyor.

İnanması zor ancak bazı ekiplerin içerisinde bir yazılımcı bile yok ve projelerinin temeli olacak olan akıllı kontratı çok düşük ücretlerle yazan ekip dışı kişilere yazdırıyorlar. Ve yine ekipte yazılımcı bulunmadığı için bu kontratı denetleyebilecek bir mekanizmada olmuyor çoğu zaman. Bu tip vizyonsuz projeler yoğun ilgiden dolayı milyon dolarları yönetmeye başladığında da bazen kontratı yazan kişi tarafından bazen ekibin kendisi tarafından bazen de ekosistemde yer alan kötü niyetli kişiler tarafından yok ediliyor. Sonuçta zarar gören sadece yatırımcılar oluyor.

Paranızın değerini bilin, kontrolden geçmemiş akıllı kontrata sahip projelere yatırım yapmaktan uzak durun.

Sıkıntı şurada ki audit yapılan bazı kontratlarda patlıyor. İşte bunlara çözüm bulunması lazım.
Sanırım audit firmalarının daha yüksek kapasiteli olması lazım yoksa bu kontratlar daha çok patlar.

audit olarak bir certik e güveniyorum, o da önüne gelene güveniliri basıp geçiyor.

[Bthd]

Sıkıntı şurada ki audit yapılan bazı kontratlarda patlıyor. İşte bunlara çözüm bulunması lazım.
Sanırım audit firmalarının daha yüksek kapasiteli olması lazım yoksa bu kontratlar daha çok patlar.

Yapılan akıllı kontrat denetimleri her şeyi kapsamıyor. Örneğin akıllı kontrat üzerinde kontratta değişiklikler yapılmasına veya kullanıcı fonların dondurulmasına olanak tanıyan admin fonksiyonları aktif ise bu ekip tarafından bilinçli olarak açık bırakıldığı için denetleme sırasında bir güvenlik açığı olarak  gösterilmiyor. Dolayısıyla ekip içerisinden gelen tehditlere yönelik bir önlem alınmamış oluyor.

Flash loan saldırıları ise kontrattaki kodlardan daha çok kontratın çalışma mekanizması ile ilgili. Saldırgan kontratın normal fonksiyonlarını kullanarak havuzun içeriğini boşaltıyor. Merkeziyetsiz borsalarda ticaret yapan kullanıcıların emirlerini mempool'dan toplayarak kullanıcının belirlediği slippage aralığının boyutuna göre kar eden botlar gibi düşünebilirsiniz. Yani yapılan hamleler legal ve kontrata aykırı değil ama haksız bir şekilde tüm havuzun tek kişi tarafından boşaltılmasına sebep oluyor.

Banka bir kampanya düzenliyor ve her 100 lira getirene 105 lira ödeyeceğini vaat ediyor siz bu işlemi çok kısa süre içerisinde çok defa gerçekleştirerek bankanın kasasını boşaltıyorsunuz gibi düşünebilirsiniz. Hamleleriniz legal ama ulaştığınız sonuç illegal olmuş oluyor.

[kriminall]

Bu saldırılarda zarar gören sadece kontratlarındaki açıkları olan firmalar değil, sektörün ta kendisi oluyor, insanlar yatırım yapmak için tereddüt ediyor, tek teselli nispeten çok para kazanamamaları olmuş, 1 lira bile haksız kazanç sağlayan kişiden hesabı sorulmalı,

[ajanwalker]

BSC ağına saldırıp bsc ağının güvensiz olduğunu mu ispat etmeye çalışıyorlar.
Son zamanlarda çıkan çoğu yeni proje bsc ağında çıkıyor. Devamı gelirse ciddi zarar görür.