2020, kesinlikle Ethereum (ETH) ağı tabanlı merkeziyetsiz finans (DeFi) dünyasının ve projelerinin yılı oldu. Chainlink, Yearn Finance, Compound, Aave ve birçok başka proje, yaşanan yükselişler ile piyasaya damga vurdu. Ancak son dönemde artışa geçen “flash loan” saldırıları, Chainlink CEO’sunun da dikkatini çekti. Sergey Nazarov, bu konuda neyin değişmesi gerektiğini takipçileri ile paylaştı.
LINK CEO’su DeFi saldırılarını yorumladı
Geçtiğimiz hafta birkaç gün içerisinde iki farklı saldırı ile duyduğumuz flash loan, aslında tam olarak bir saldırı sayılmaz. Bu yöntem, kötü amaçlı kişilerin farklı DeFi projelerini kullanıp bunlardaki sistemsel açıktan faydalanarak ciddi kazançlar elde etmesi olarak tanımlanabilir. Value DeFi, Harvest Finance, Origin Dollar ve Cheese Bank sadece bu ay içerisinde flashloan saldırısına maruz kalan protokoller olarak bilinmekte.
Nazarov ise DeFi uygulamalarının en sıkıntılı özelliğinin, fiyat takip mekanizmaları olduğunu belirtti. Aslında LINK tam olarak bu noktada devreye giriyor ve projelere oracle hizmeti vererek, her zaman doğru fiyat verisinin aktarılmasını sağlıyor. Birçok merkeziyetsiz finans uygulaması ise akıllı kontratları için birden fazla merkeziyetsiz kripto para borsasından (DEX) faydalanıyor.
Nazarov, söz konusu flash loan saldırılarının temel noktasını ise bunların tek bir yerden fiyat bilgisi alan protokollere yapılmış olması şeklinde öne sürüyor. Yani projeler kolaylık ve geliştirme hızı uğruna, güvenliği arka plana atıyorlar. Bir saldırgan elindeki yüklü fonlarla ilgili fiyat mekanizmasında manipülasyona sebep olarak, flash loan saldırısının ilk adımlarını atıyor.
DeFi platformlarının zayıf tarafı, tek bir noktaya odaklanmaları
Nazarov, flash loan saldırılarını gerçekleştirmek için tek gereken şeyin bir DEX’in emir tahtasını maniple etmek olduğunu belirtmekte. Bu da herhangi bir teknik bilgi veya kodlama becerisi gerektirmiyor. DeFi sektörüne hakim olup yüklü fona sahip olmak, flash loan için gerekli iki şart olarak ön plana çıkmakta.
Nazarov aslında bir değil beş kripto para borsasına kadar fiyat verisine sahip olan projelerin bile bu saldırılara açık olduğunu belirtiyor. Ünlü CEO’ya göre bu sadece işleri biraz daha karmaşık ve gereken fon miktarını biraz daha fazla yapmakta.
Peki bunun çözümü var mı?
Nazarov’a göre bunun net bir çözümü olmasa da saldırganlar için işler çok daha zorlaştırılabilir. Bunun için DeFi platformlarının fiyat verilerini aldıkları platformları ve bunların kapsamını çok daha genişletmeleri gerekiyor. Bu da bir varlığın birkaç merkeziyetsiz borsadaki fiyatından öte, gerçek fiyatının maniple edilmesini gerekli kılacaktır. Bunun için muazzam miktarlarda fon gerekeceğinden, saldırganların buna kalkışması pek olası gözükmüyor.
Yani flash loan saldırılarının net bir çözümü olmasa da bunları saldırganlar için daha zor bir hale getirmek mümkün. Belki de DeFi sektörü her protokolün daha dikkatli olması ile güvenliğini arttırabilir.