Merkeziyetsiz kredi protokolü CrediX, bu hafta yaşanan 4,5 milyon dolarlık saldırının ardından tamamen sessizliğe büründü. Blok zincir güvenlik şirketi CertiK’in bugün yaptığı duyuruya göre proje ekibi kayıplara karıştı, sosyal medya hesapları silindi ve internet sitesi 4 Ağustos’tan bu yana erişilemez durumda.
CertiK bu gelişmeyi “exit scam” yani çıkış dolandırıcılığı olarak nitelendirdi. Kripto dünyasında bu terim, bir projenin geliştiricilerinin kullanıcı fonlarıyla birlikte ortadan kaybolduğu durumlar için kullanılıyor. Bu tür vakalarda genellikle önce bir saldırı hikayesi anlatılıyor, ardından proje altyapısı kapatılıyor, sosyal kanallar terk ediliyor ve ekipten hiçbir iletişim alınamıyor.
Saldırgan admin yetkilerini kötüye kullandı
The Block’un haberine göre, saldırgan CrediX’in yönetici cüzdanını ele geçirerek köprü rollerini manipüle etti. Bu sayede teminatsız tokenlar basarak havuzdan varlık çekti. Saldırı sonrası ekip ön uç erişimini kapattı ve kullanıcılara yeni mevduat yapmamaları yönünde uyarıda bulundu. Güvenlik firmaları, çalınan varlıkların Sonic ağından Ethereum’a köprülenerek birkaç adreste toplandığını belirtiyor.
Geri ödeme sözü tutulmadı
Saldırıdan sonraki ilk saatlerde CrediX, kullanıcı fonlarını 24 ila 48 saat içinde iade edeceğini duyurmuştu. Ayrıca çekimlerin akıllı sözleşmeler aracılığıyla yapılabileceğini belirtti. Ancak üzerinden günler geçmesine rağmen internet sitesi hala kapalı ve kullanıcıları bilgilendiren bir plan yayımlanmadı.
Bu olay, DeFi dünyasında artan sayıda “exit scam” örneğine bir yenisini eklemiş oldu. Mayıs 2023’te DF Fintoch adlı proje 32 milyon dolarla kayıplara karışmış, aynı ay Arbitrum tabanlı Swamprum DEX de 3 milyon doları aşan mevduatla ortadan yok olmuştu.
