Arbitrum ağı üzerinde çalışan merkezi olmayan bir borsa (DEX) olan ArbiSwap, geliştiricisi tarafından sağlamlaştırıldı. İstismar, geliştiricinin kullanıcı fonlarını cüzdanlarına geri kazanmasına izin veren bir recoverToken işlevi içeren sözleşmenin değiştirilmesinden kaynaklandı. Rugpulli, çalınan tüm fonları içeren havuz2’yi hedef alırken, yerel olmayan likidite sağlayıcıları güvende olmalı.
Rugpull Gelişmesi
İstismarın kurbanları, likiditelerini kaldırmak için yönlendirici adresini kullanabilir. İlginç bir şekilde, rug pull yapan kişi ARBI/USDC LP havuzuna mint dumping yaparak ve ARBI/WETH havuzunu unutarak 85 ETH kazanmıştır. Bu eylem, bir arbitraj botunun havuz2 farmerları için 112.000 $ kazanmasını sağladı.
Saldırıya rağmen, 392B4 ile biten ilk sözleşmeye para yatıranların fonları güvende. Kullanıcılar, varlıklarının güvende kalmasını sağlamak amacıyla fonlarını çekmek ve izinleri iptal etmek için sözleşmeyle doğrudan etkileşime geçebilir.
Çıkış dolandırıcılığı olarak da bilinen Rug pull, merkeziyetsiz finans (DeFi) alanında yaygındır. Bu saldırılar, kötü niyetli aktörlerin sözleşmeler veya DEX‘ler oluşturmasını ve ardından “kurtarma” işlevi de dahil olmak üzere çeşitli yöntemlerle kullanıcı fonlarını boşaltmasını içerir.
Arbitrum Etkilendi
Bu istismar Arbitrum’un itibarını etkiledi ve kullanıcıların tüm zincire olan güvenini kaybetmesine yol açabilir. Bununla birlikte, bu bir DEX’in ilk hacklenişi değil ve DeFi alanı hala erken aşamalarında olduğundan bu tür saldırılara açık.
ArbiSwap’in rug pull’u, kullanıcıların DEX’leri ve diğer DeFi platformlarını kullanırken dikkatli olmaları gerektiğini vurguluyor. Özellikle Arbitrum gibi popüler zincirlerde, para yatırmadan önce herhangi bir platformun meşruiyetini araştırmak ve doğrulamak çok önemlidir.
