Balancer Flash Loan Hack – DeFi’nin Güvenlik Testi
Balancer, flash loan saldırılarıyla sınanan en büyük DeFi protokollerinden biri hâline geldi. 2020’de yaşanan bu olay, oracle manipülasyonu dönemini başlattı.
BALANCER HACKİ – TRANSFER FEE TUZAĞIYLA 500 BİN DOLARLIK ZİNCİR ÜSTÜ VURGUN
2020 yılının Haziran ayında, merkeziyetsiz finans (DeFi) dünyasında yankı uyandıran bir olay yaşandı. Otomatik piyasa yapıcı (AMM) modeliyle çalışan ve kullanıcıların varlıklarını likidite havuzlarında değerlendirerek getiri kazandığı Balancer protokolü, büyük bir güvenlik açığı nedeniyle hedef alındı. Zincir üstünde gerçekleşen bu sofistike saldırı, yaklaşık 500 bin dolarlık kayıpla sonuçlandı ve DeFi protokollerinde görülen ilk “transfer fee” odaklı flash loan saldırılarından biri olarak kayıtlara geçti.
İlginizi Çekebilir: Tribe ve Fei Protocol Krizi – Topluluk İradesine Karşı Birleşme
Saldırının Anatomisi: Algoritmik Kör Nokta
Balancer, Ethereum tabanlı merkeziyetsiz bir borsa olarak çalışır ve farklı oranlarda (örneğin 80/20, 60/40 gibi) token kombinasyonlarıyla çok varlıklı likidite havuzlarına izin verir. AMM algoritması, bu havuzlardaki token oranlarına göre otomatik fiyatlama yapar. Ancak saldırgan, bu mekanizmanın bir açığını tespit etti: transfer fee (işlem kesintisi) içeren token’lar.
Bu tür token’lar, her transfer işleminde belirli bir yüzde (örneğin %1) kesinti uygular. Balancer’ın sisteminde ise bu özellik göz önünde bulundurulmamıştı. Saldırgan, bu zaafı kullanarak, havuz içindeki token’ların beklenenden daha az artmasını veya azalmasını sağladı. Böylece sistemin dengesini bozarak manipülasyona zemin hazırladı.
Flash Loan ile Başlayan Plan
Saldırı, bir flash loan (ani kredi) alınmasıyla başladı. Bu kredi, Aave gibi bir protokolden temin edildi ve anlık olarak büyük bir sermaye sağladı. Flash loan, teminat gerektirmeyen ve aynı işlem bloğu içinde geri ödenmesi gereken bir borçlanma yöntemidir. Saldırgan bu krediyle Balancer havuzlarına art arda işlemler gönderdi:
- Yüksek transfer fee’ye sahip STA (Statera) gibi token’lar havuza eklendi.
- Token’ların her transferinde %1 kesinti yaşanmasına rağmen, Balancer bu eksilmeyi algılayamadı ve fiyatlandırma sistemini güncellemedi.
- Bu sayede, saldırgan düşük değerli token’larla pahalı token’ları satın alarak arbitraj fırsatları yarattı.
Saldırgan, bu işlemi toplam 24 kez tekrarladı. Her döngüde, zincir üstündeki token oranları daha da bozuldu ve havuzdan değeri yüksek varlıklar boşaltıldı.
Zincir Üstü Şeffaflık ve Savunmasızlık
Bu saldırı tamamen zincir üstünde (on-chain) gerçekleştiği için, tüm adımlar blok zinciri tarayıcılarından izlenebiliyordu. Ancak merkeziyetsizliğin doğası gereği, işlemler tamamlandıktan sonra geri döndürülmesi mümkün değildi. Balancer ekibi, olayın ardından şu itirafta bulundu:
“Sistemimiz, transfer fee içeren token’ların yaratacağı etkileri öngöremedi. Bu zayıflığı değerlendiren saldırganlar havuzlarımızı hedef aldı.”
Ekip, saldırının ardından kritik önlemler aldı:
- Transfer fee’ye sahip token’lar platformdan çıkarıldı.
- Havuz mantığına entegre fiyat farkı kontrolleri ve işlem sıralama denetimleri geliştirildi.
- Kod tabanı yeniden denetime alındı ve kullanıcılar bilgilendirildi.
DeFi İçin Bir Uyarı Niteliği Taşıyor
Bu saldırı, yalnızca Balancer’a değil, tüm DeFi ekosistemine büyük bir uyarı oldu. Flash loan’ların sadece kredi aracı olarak değil, aynı zamanda zincir üstü saldırı vektörü olarak da kullanılabileceği net bir şekilde ortaya çıktı. Özellikle işlem sırası (front-running), fiyat manipülasyonu ve token davranışları konularında yeni güvenlik protokolleri geliştirilmesi gerektiği anlaşıldı.
Olayın ardından birçok DeFi projesi:
- Flash loan'lara karşı işlem gecikmeleri ve limitler ekledi.
- Transfer davranışlarını tanıyan akıllı sözleşmeler geliştirdi.
- Denetim süreçlerini sadece kod değil, ekonomik mantık analiziyle genişletti.
DeFi’nin Kırılgan Dengesi
Balancer saldırısı, DeFi’nin en temel yapı taşlarından biri olan açık erişim ve programlanabilir finansın aynı zamanda kötüye kullanılabileceğini gösterdi. Balancer örneğinde olduğu gibi, teknik açıdan "kusursuz görünen" protokoller bile küçük bir hatayla milyonlarca dolarlık kayba neden olabilir.
Bu olay, kripto geliştiricilerine ve yatırımcılara önemli bir ders verdi:
“Kod kanundur” mottosu, ancak kodun tüm olasılıkları kapsaması durumunda geçerlidir.”