Flash Loan (Flaş Kredi) Saldırısı Nedir?

Yayımlama Zamanı: 27 Haz 2023
Güncelleme Zamanı: 25 Nis 2024

Kripto paraların ve blok zincir teknolojisinin bulunmasıyla birlikte ortaya birçok farklı trend ve devrim niteliğinde teknoloji çıktı. Bunların en büyük örneği, merkeziyetsiz finans (DeFi) olsa gerek. İzin gerektirmeyen, ölçeklenebilir, şeffaf ve merkeziyetsiz bir finansal ekosistem kurmayı hedefleyen DeFi, büyük bir büyüme yaşadı. Ancak çoğu trendde olduğu gibi, bunda da bazı sorunlar var. Bunlar arasında flash loan, yani flaş kredi saldırıları yer alıyor.

Haberlere göre 200 milyon doların üzerinde kayba yol açan PancakeBunny saldırısı, son zamanların en yüksek profilli flaş kredi saldırılarından biridir. Bu makalede flaş kredi saldırıları, en ünlü vakalar ve bunların nasıl önleneceği ele alınacaktır.

Flaş kredi nedir?

Flash

Flaş krediler, akıllı sözleşmeler tarafından uygulanan teminatsız kredilerdir. Önde gelen DeFi platformlarından biri olan Aave'nin öncülüğünü yaptığı bu krediler sıfır kredi kontrolü, limit ve daha da önemlisi teminat gerektirmez.

Geleneksel olarak, teminatlı ve teminatsız olmak üzere iki kredi türü mevcuttur. Teminatlı krediler teminat ile kredi kontrolü gerektirir ve belirli limitlere sahiptir. Diğer yandan teminatsız krediler ise adı üstünde, teminatsızdır. Bu, herkesin tazminat olarak kayda değer bir varlık sağlamadan herhangi bir meblağı ödünç alabileceği anlamına gelir. Flaş krediler teminatsızdır ve DeFi alanının bir parçasıdır.

Loan

Aave ekibine göre, flaş krediler bu alandaki ilk teminatsız kredilerdir. Kullanıcıların ve geliştiricilerin teminat olmadan sorunsuz ve anında varlık ödünç alabilmeleri için özel olarak tasarlanmıştır. Flaş krediler arbitraj ticareti için mükemmel bir fırsat sunuyor.

Arbitraj ticareti, yatırımcıların birden fazla kripto borsasındaki varlık fiyat farklılıklarından yararlanmasına olanak tanır. Örneğin, bir tokenin fiyatı X Borsasında 10 $ ve Y Borsasında 13 $ ise, bir kullanıcı X Borsasından 100 token satın almak için 1.000 $ ödünç almak için flash kredilerden yararlanabilir ve ardından bunları Y Borsasında başkalarına 1.300 $ karşılığında satabilir.

Flash kredi saldırıları nedir?

Attack

Flaş kredi saldırısı, kötü niyetli bir aktörün teminat göstermeden hatırı sayılır bir meblağı ödünç aldığı DeFi platformunun akıllı sözleşmelerinden faydalanır. Ardından, token ya da varlığın bir borsadaki fiyatını manipüle ederek başka bir borsada satar.

Flaş kredi saldırıları, DeFi sektörünün en yaygın ve en ucuz saldırılarıdır. Bu trendin birkaç yıl önceki kayda değer büyümesinden bu yana, bu saldırılar tekrar eden bir sorun haline geldi. Saldırılar hızlıca gerçekleşir. Ve kötü niyetli aktör kredileri ele geçirdiğinde, hemen "yapay bir satış" başlatarak varlıkların fiyatında gözle görülür bir düşüşe neden olur. Doğal olmayan bir satışa ek olarak, saldırganlar piyasayı kendi lehlerine manipüle etmek için çeşitli hileler ve planlar uygularlar. Bu saldırılar hızlı bir şekilde koordine edilebilir ve birçok DeFi güvenlik protokolünü atlayabilir.

Flaş kredi saldırılarına örnekler

Alpha Amora Saldırısı

2021'in en önemli flaş kripto kredi saldırısı olarak kabul edilen Alpha Amora saldırısı, Cream Protocol'ün kredi platformu Iron Bank'e yapıldı. Bu saldırıda 37 milyon dolarlık rekor bir kayıp yaşandı.

Kötü niyetli aktör, Alpha Amora’nın merkeziyetsiz uygulaması (DApp) aracılığıyla Iron Bank'tan defalarca sUSD borç aldı. Saldırı, bilgisayar korsanının ödünç aldığı sUSD'yi Iron Bank'a geri ödünç verdiği ve ödül olarak Yearn Synth USD almalarını sağlayan iki işlemli bir modelde gerçekleşti. Bilgisayar korsanı Aave'den 1,8 milyon USD Coin ödünç almış, bunları Curve platformunu kullanarak sUSD ile takas etmiş ve sUSD'yi Iron Bank'taki krediyi geri ödemek için kullanmıştır. Bu eylem, borç almaya ve geri ödemeye devam etmelerini sağlayarak onlara daha fazla sUSD kazandırdı.

Bu işlem birçok kez tekrarlanarak mümkün olduğunca çok fon çalmalarına olanak sağladı. Bu bilgisayar korsanı, toplam 13 bin WETH (Wrapped Ethereum), 5,6 milyon USDT, 3,6 milyon USDC ve 4,2 milyon DAI ödünç aldı.

PancakeBunny Saldırısı

BSC tabanlı yield farming aggregator platformuna yönelik 2021'deki meşhur PancakeBunny saldırısı, proje ve piyasa üzerinde yıkıcı bir etki yarattı. Saldırı, PancakeBunny’nin token değerinin %96'nın üzerinde düşmesine neden oldu ve bu da onu en popüler flaş kripto kredi saldırılarından biri haline getirdi.

Saldırının faili, USDT/BNB ve BUNNY/BNB işlem çiftlerinin fiyatını manipüle etmek için kullanılan PancakeSwap aracılığıyla önemli miktarda BNB ödünç aldı. Bilgisayar korsanı bu fiyat manipülasyonu yoluyla büyük miktarda para çaldı ve BUNNY'nin değerinin büyük ölçüde düşmesine neden oldu. Raporlara göre, bilgisayar korsanı tarafından toplam 3 milyon dolar çalındı. Ancak, token fiyatı düştüğü için istismarın etkisi 200 milyon üzerinde oldu.

Cream Finance Saldırısı

Cream Finance vakası karmaşıktı ve failin çok sayıda plan ve strateji uygulamasını gerektiriyordu. 2021 yılında gerçekleştirilen saldırıda, bilgisayar korsanı Yearn Protocol'ün kasa hisselerinden 1,5 milyar dolar ödünç aldı. Kötü niyetli aktör, 2 milyar dolarlık bir teminatla, ödünç aldığı fonları Yearn Protocol’e geri bağışlayarak değeri ikiye katladı.

ApeRocket Kripto Kredisi Saldırısı

ApeRocket flaş kredi saldırısı 2021 yılında ApeRocket protokolünde meydana geldi. Saldırı iki ayrı ancak birbiriyle ilişkili süreçte gerçekleştirilmiştir.

İlk olarak, bilgisayar korsanı, %99'u ApeRocket'ın kasasında tutulan büyük miktarda $CAKE ve $AAVE ödünç aldı. İkinci olarak, fail protokolün kasasına para göndererek projenin alınan ekstra fonları hesaba katmak için daha fazla token basmasına neden oldu. Son olarak, bilgisayar korsanı tokenları atarak 1,26 milyon dolarlık bir kayba ve ApeRocket Protokolü tokenının (SPACE) %63'ün üzerinde feci bir şekilde düşmesine neden oldu.

Platypus Finance Saldırısı

2023 yılında Platypus Finance protokolü feci bir flaş kredi saldırısına maruz kaldı. Bilgisayar korsanı Aave protokolünden 44 milyon USDC ödünç aldı, fonları stake etmek için kullandı ve ardından Platypus Finance'ten daha fazla ödünç aldı. Aktör protokolde bir "Acil Para Çekme" süreci başlattı ve ödünç alınan USDC'yi geri ödemeden stake edilen fonları çekti.

Bilgisayar korsanı, acil durum işlevini tetikleyerek yatırılan fonları derhal geri çekti. Bu saldırı, diğerlerinden farklı olarak, platformun stake etme işlevindeki bir güvenlik açığı sayesinde mümkün olmuştur. Para çekme işlemi gerçekleştirilmeden önce hacker'ın durumu kontrol edilemedi. Bu saldırıda 8,5 milyon doların üzerinde para kaybedildi.

Flaş kredi saldırıları nasıl önlenir

Flaş kredi saldırılarının sayısının artmasıyla birlikte, bu soruna yönelik tek ve işe yarar bir çözüm olmadığı ortaya çıkmıştır. Bu saldırıları daha az da olsa sınırlandırmak için yalnızca önemli adımlar atılabilir. Bunlar:

Tespit araçlarından yararlanma

Flaş kredi saldırılarının gerçekleşmesinin ana nedenlerinden biri, DeFi platformu geliştiricilerinin olaylara yavaş tepki göstermesinden kaynaklanmaktadır. Bununla birlikte, bir flaş kredi saldırısını ancak gerçekleştikten sonra tespit etmek mümkündür. Bu durum, tespit araçlarına duyulan ihtiyacı vurgulamaktadır.

Bu araçlar, proje geliştiricilerinin ve yöneticilerinin akıllı sözleşme istismarlarını ve diğer yaygın olmayan kullanıcı etkinliklerini tespit etmelerini sağlamak için tasarlanmıştır. Hızlandırılmış tespit süresi, geliştiricilerin hızlı hareket etmesine ve saldırıları en üst düzeyde etkisiz hale getirmesine olanak tanır. Çoğu DeFi protokolü, bu kötü niyetli saldırıları azaltmak için bu siber güvenlik araçlarından düzinelerce kurmuştur.

Fiyat için merkeziyetsiz Oracle'ların kullanılması

Fiyat verileri için merkeziyetsiz Oracle'lardan yararlanmak, ani kredi saldırılarını önlemenin bir başka etkili yoludur. ChainLink ve Band Protocol gibi oracle'lar piyasada en çok rağbet görenlerden ikisi.

Alpha Amora gibi daha önce hacklenen DeFi protokolleri geçen yıl bir Oracle toplayıcısı başlattı ve o zamandan beri saldırıları gerçekleşmeden önce tespit edebildi.

İşlemler için iki blok onayı

Dragonfly araştırma ekibi işlemler için iki onay bloğunun kullanılmasını önermiştir. Bu, bilgisayar korsanları her iki bloğa da saldırı düzenleyebileceğinden optimum güvenliği garanti etmese de, flaş kredi saldırılarını azaltmaya ve tamamen ortadan kaldırmaya yardımcı olduğu için bir risk yönetimi aracı olarak hizmet eder.

Devre kesiciler

Flaş kredi saldırılarını önlemenin bir başka yolu da büyük fon hareketlerini devre dışı bırakarak bu faillerin piyasayı kolayca manipüle etmesini zorlaştırmaktır.

Zaman gecikmeleri (saniye başına işlem hızı) uygulamak ve bir flaş krediyi işleme maliyetini artırmak, sektörü kötü niyetli aktörlerden ve eylemlerden kurtarmanın diğer ince yollarıdır.

Flaş kredi saldırıları neden yaygındır?

Flaş kredi saldırıları bu sektörde yaygındır. İşte bunun bazı nedenleri:

  • Uygulanması ucuzdur - DeFi protokollerinde gerçekleştirilmesi en kolay ve en uygun fiyatlı saldırılardır. Bilgisayar korsanlarının teminat olmadan borç para almak için bir likidite havuzuna erişmeleri yeterlidir. Herkes rahatlıkla bir flaş kredi saldırısı düzenleyebilir.

  • Arbitraj ticareti - bir varlığın kripto borsalarındaki dalgalı fiyatlarından yararlanmak, flaş kredi saldırılarını yaygın hale getirir. Sektörde yüzlerce borsa olması, bir kripto varlığının gerçek fiyatını belirlemeyi neredeyse imkansız hale getirmektedir.

  • Mevcut başarı oranı - flaş kredi saldırılarının günümüzdeki başarı oranı, bunların ne kadar başarılı bir şekilde gerçekleştirilebileceklerini göstermektedir. Bilgisayar korsanları 2021'den bu yana kısa bir süre içinde flaş kredi saldırılarından milyonlarca ABD Doları elde etti.

Flash kredi saldırıları bitecek mi?

Kripto sektöründeki diğer kötü niyetli saldırılar gibi, Flaş kredi saldırılarının da bitmesi pek olası değil. Ancak riskleri azaltmak için önlemler alınabilir.

Gelişmiş tespit araçlarının tasarlanması ve kullanıma sunulması, DeFi protokolleri için bir paradigma değişikliği olabilir. Bu araçlar, bir protokoldeki olağandışı hareketleri verimli bir şekilde tespit edebilir ve geliştirme ekibini derhal bilgilendirebilir.

SSS

Flaş kredi saldırısı nedir?

Flaş kredi saldırısı, DeFi protokolünün akıllı sözleşmelerinden yararlanarak sıfır teminatla büyük miktarlarda fon ödünç alır. Ve bu borç için hiçbir geri ödeme planı yapılmaz.

Flaş Loan saldırısı gerçek mi?

Evet, flaş kredi saldırıları gerçektir. PancakeBunny, Cream Finance, Alpha Amora ve Platypus Finance hack'leri, flaş kredi saldırılarının başlıca örnekleridir. Bu protokoller mali kayıplara uğramıştır.

Bir Flaş Kredi saldırısındaki nasıl işler?

Hackerlar belirli bir protokolden fon ödünç alarak, piyasayı manipüle etmek için becerilerini kullanarak ve son olarak tokenları boşaltarak işe başlar. Bu adımlar birçok DeFi protokolünün çökmesine yol açmıştır.

İlgili makaleler
Daha Fazlasını Görüntüle
DEX DeFi generic
DeFi
Kripto Dünyasındaki Otomatik Piyasa Yapıcılar (AMM) Nedir?
Otomatik piyasa yapıcılar (AMM), akıllı sözleşme yardımıyla token swaplarının ve değer aktarımlarının yapılabildiği, merkeziyetsiz kripto para alım satım platformlarıdır. Burada merkezi platformların
25 Nis 2024
trade-academy-spot-3
Altcoin
DeFi
Kripto airdrop türleri için kapsamlı bir rehber
Kripto para endüstrisi, son dönemlerde dünyanın en hızlı büyüyen endüstrilerinden biri haline geldi. Tıpkı gelişmekte olan her sektörde olduğu gibi, burada da sürekli yeni ve heyecan verici projeler g
25 Nis 2024
Forward Contracts vs. Futures Contracts What Are the Differences
Blok Zinciri
DeFi
Blockchain Oracle Nedir?
Blockchain teknolojisi, çeşitli sektörlerde devrim yaratma potansiyeli nedeniyle son yıllarda önemli bir popülerlik kazanmıştır. Blockchainlerin verimli bir şekilde çalışabilmesi için güvenilir ve güv
25 Nis 2024
Crypto Faucet What Is It and How Does It Work
GameFi
Kripto Musluğu: Nedir ve Nasıl Çalışır?
Giriş Kripto para muslukları, dijital para birimlerinin büyüleyici dünyasına açılan sanal kapılar olarak hizmet eder ve kullanıcılara basit görevleri yerine getirmeleri karşılığında ödül olarak küçük miktarlarda kripto para verir.
25 Nis 2024
Forward Contracts vs. Futures Contracts What Are the Differences
NFT
Stable Diffusion ile nasıl NFT üretilir: Başlangıç kılavuzu
Yapay Zeka (AI) son birkaç yılda uzun bir yol kat etti. 2022'nin sonlarında ve 2023'ün başlarında ChatGPT, diyaloglarıyla tüm dünyayı etkilediği için dünyayı kasıp kavurdu. Yapay Zeka, görüntü oluştur
25 Nis 2024
trade-academy-beginner-4
Güvenlik
Kişisel Gözetimli (Self-custody)
Kağıt Cüzdanlar: Nedir ve nasıl çalışır?
Kriptosunu güvende tutmak isteyenlere genelde coinlerini borsadan çekip, kişisel bir cüzdana aktarması tavsiye edilir. Kripto endüstrisinde, anahtar sizin değilse coin de sizin değildir şeklinde bir d
25 Nis 2024
Daha Fazlasını Görüntüle