Value DeFi, tam da Cuma günü merkeziyetsiz finans protokolünün flaş kredilerin kötü amaçlı kullanımını önlemeye yönelik metodolojisini paylaştığı bir Twitter paylaşımının ardından 6 milyon dolarlık (yaklaşık 45 milyon lira) flaş kredi istismarına uğradı.
Cuma günü Türkiye saati ile 18.45 sularında gerçekleşen işlemde, bir kullanıcı kredi protokolü Aave'den 80 bin ETH (yaklaşık 36 milyon dolar - 270 milyon lira) flaş kredi çekti. Aave geliştiricisi Emilio Frangella hemen bu krediyi gündeme taşıdı::
80.000 eth flashloan on @AaveAave https://t.co/ngnHIoNKpi
— Emilio Frangella (@The3D_) November 14, 2020
Beyaz şapkalı bir hacker ve DeFi Italy kurucu ortağı olan Emiliano Bonassi, saldırganın ayrıca 116 milyon dolarlık flaş krediyi de Uniswap'te DAI olarak çektiğini kaydetti.
Bu kullanıcı flaş kredi olarak aldığı ETH'leri stablecoin ile takasladı, flaş krediyle çekilen DAI'nin bir kısmını Value DeFi'nin çoklu stablecoin destekleyen kasasına yatırdı ve ardından USDT, USDC ve DAI arasında bir dizi stablecoin takası gerçekleştirerek, Value Defi kasasının para çekme metodunda kullanılan fiyatlandırmanın açıklarından faydalandı.
This is the complex exploit I've ever seen. It used 2 FLASHLOANS, one with @AaveAave (80k ETH) and one using flashswap with @UniswapProtocol (116M DAI).
— Emiliano Bonassi | emiliano.eth (@emilianobonassi) November 14, 2020
In the image the steps! pic.twitter.com/nTm2SEgsur
"Bu benim gördüğüm en karmaşık flaş kredi istismarı. Biri Aave (80K ETH) diğeri Uniswap (116 milyon DAI) olmak üzere iki ayrı flaş kredi kullanıldı..."
Cointelegraph'a verdiği röportajda, bu saldırının konsept olarak geçtiğimiz günlerde gerçekleşen Harvest Finance saldırısına benzediğini kaydeden Bonassi, Value DeFi saldırısının şimdiye kadar gördüğü en karmaşık istismarlardan biri olduğuna dikkat çekti ve "saldırganın iki flaş krediyi aynı anda kullandığı ilk saldırılardan biri" olduğunu dile getirdi.
Olaydan yarım saat kadar sonra, topluluk Discord kanalı saldırıyı doğruladı:
MultiStables kasasındaki mevcut durumun farkındayız. Lütfen, konuyu araştırmamız için bize biraz zaman tanıyın. Diğer tüm kasa ve havuzlar normal şekilde çalışıyor.
Saldırıdan kısa bir süre sonra, fail ayrıca Ethereum aracılığıyla Value DeFi protokolüne bir mesaj göndererek adeta meydan okudu:
"flaş krediyi gerçekten biliyor musunuz?"
Saldırgan, bu mesajı Ethereum üzerinde gönderebilmek için yaklaşık 2,5 lira harcadı.
Protokol, TSİ 20:12'de Twitter'da yaptığı açıklamada, yaşananlar sonrası bir durum raporu hazırladıklarını ve bunun kullanıcılar için 6 milyon dolarlık bir zarara yol açtığını söyledi.
Saldırının ardından aynı gün içinde $VALUE token değeri yüzde 25'ten fazla düşerek 2.01 dolara geriledi. Bugün itibarıyla ise tokenin değeri 2,18 dolar seviyesine geri tırmanmış durumda.
Merkeziyetsiz finans (DeFi) nedir?
Merkezi olmayan (Decentralized) ve finans (Finance) kelimelerinin kısaltmasından meydana gelen DeFi, herhangi bir merkeze ya da otoriteye ihtiyaç duymayan finansal yapıya denir. Temelde blockchain ağları üzerine inşa edilmiş olan DeFi, yeni nesil dijital para altyapılarının oluşturulması için en önemli gelişmeler arasında sıralanır.
DeFi yapılarında, merkezi olmayan finans hizmetleri sunmanın yanı sıra katılımcılara güven sağlamak da amaçlanır. Zira yönetimde kimsenin bulunmaması, suiistimallerin önüne geçilmesi manasına gelir.
"Bu şartın sağlanması durumunda, şu işlem gerçekleşir" mantığına dayanan ve otomatik biçimde çalışan akıllı sözleşmeler, konsensüs protokolleri ve merkezi bulunmayan uygulamalar (Decentralized Application - DApp), merkeziyetsiz finans yapılarının önemli parçaları arasındadır.
Detaylı bilgi için: DeFi Nedir? Merkeziyetsiz Finans Ne Demek?