Merkeziyetsiz finans (DeFi) ekosisteminin gelişmesi, kripto para birimlerinin kullanım alanları epey genişletti ve kripto paralara bakış açısını değiştirdi. Özellikle kripto para biçiminde farklı türde krediler sunan lending platformları, bugün büyük ilgi çekiyor ve hem borç verenlere hem de borç alanlara önemli olanaklar yaratıyor.
Bu olanaklardan biri, popülerliği gitgide artan flaş kredilerdir (flash loan). Hakkında daha fazla bilgi almak için ilgili makalemizi buraya tıklayarak okuyabileceğiniz flaş kredi, kullanıcıların anında kredi alıp geri ödemesini sağlayan bir kredi türüdür. Flaş krediler, akıllı sözleşme yardımıyla gerçekleşir ve alınan bir kredinin geri ödemesi yapılmazsa işlemin kredi hiç alınmamış gibi geri döndürülmesini sağlar.
Ancak, her ne kadar mükemmel bir fikir olsa da ve iyi çalışsa da, flaş kredilerden kötücül niyetlerle yararlananlar da yok değil. Flaş kredi saldırısı (flash loan attack), bu kredi türünü kullanan platformların başını ağrıtıyor. Bu makalemizde “Flaş kredi saldırısı nedir?” sorusuna cevap verecek, nasıl engellenebileceğine dair fikirlere göz atacağız.
Flaş kredi saldırısı nedir?
Flaş kredi saldırısı, flaş kredi sağlayan bir platformun akıllı sözleşme güvenliğini kötüye kullanması ve genellikle teminat gerektirmeyen çok miktarda fon borç almasıdır. Bu saldırganlar daha sonra bir borsada bir kripto varlığının fiyatını manipüle eder ve başka bir borsada hızlıca yeniden satarlar.
Bu işlem çok hızlı gerçekleşir ve saldırgan, işlemi tamamlamadan ve iz bırakmaksızın ayrılmadan önce aynı işlemi birkaç kez tekrarlar.
dYdX (DYDX) örneği
En ünlü flaş kredi saldırılarından biri, 2020’nin başlarında dYdX (DYDX) platformunda gerçekleşmiştir. Bu örnekte saldırgan, dYdX üzerinden flaş kredi almış ve ardından aldığı krediyi ikiye bölüp iki ayrı merkeziyetsiz borsada kullanmıştı: Fulcrum ve Compound.
Saldırgan, kredi olarak aldığı sermayenin ilk parçasını Fulcrum’da, bir ETH/WBTC alım satımında değerlendirdi. Bu süreçte Kyber Network, siparişi Uniswap (UNI) DEX'i aracılığıyla aldı. İşin püf noktası, Uniswap'ın düşük likidite havuzunun WBTC'nin fiyatını inanılmaz derecede yükseltmesiydi.
Saldırgan, aynı anda, WBTC flaş kredisi almak için Compound platformunda kredisinin ikinci parçasını kullandı. Uniswap'ta fiyat fırladığında, saldırgan hızla alım satımı gerçekleştirdi ve önemli bir yasa dışı kâr elde etti.
Flaş kredi saldırısı nasıl engellenir?
Flaş kredi saldırıları gerçekleştikçe güvenlik uzmanları da bu saldırılara yol açan güvenlik açıklarını nasıl giderebilecekleri konusunda daha fazla tecrübe kazanıyor. Böylece, flaş kredi saldırısını engellemek üzere önlemler alınıyor. Yazımızın bu kısmında, flaş kredi saldırısı nasıl engellenir, bakacağız.
Merkeziyetsiz fiyatlandırma oracleları
Birçok flaş kredi saldırısı, fiyat manipülasyonuna dayanır. Bu yaklaşıma merkeziyetsiz fiyatlandırma oraclelarıyla karşı koymak gerekir. Chainlink (LINK) platformu buna iyi bir örnektir. Chainlink, farklı kripto para birimlerinin doğru fiyatlandırmasını sunarak tüm protokolleri güvende tutar.
Merkeziyetsiz fiyat oracleları kullanan Chainlink gibi platformlar, fiyat beslemelerini tek bir DEX'ten almayarak dYdX örneğindeki gibi flaş kredi saldırılarını engeller.
DeFi güvenlik platformları
DeFi ekosistemi, uluslararası finansal sistemlerin görünümünü yeniden şekillendiren en son teknolojileri kullanır. Elbette bu, tüm sisteme büyük bir yük getirir.
İyi haber şu ki, mevcut güvenlik sorunlarıyla mücadele eden belirli platformlar zaten var. Örneğin, OpenZeppelin bunlardan biri. OpenZeppelin ve benzeri güvenlik platformlarının DeFi ekosistemindeki rolü, akıllı sözleşmeleri ve DeFi platformlarını bir bütün olarak korumaktır.
Akıllı sözleşme denetim yeteneklerinin yanı sıra, Defender Sentinels gibi kimi çözümler ise doğrudan hızlı kredi saldırılarına karşı sürekli koruma sağlar. Geliştiriciler bu araçları savunma stratejilerini otomatikleştirmek, tüm sistemleri hızlı bir şekilde duraklatmak ve düzeltmeler yapmak için kullanabilir.