BZX Protocol Hack – Flash Loan Saldırılarının Başlangıcı
bZx Protocol, merkeziyetsiz finans (DeFi) alanında öncü projelerden biri olarak yola çıkmıştı. Ancak 2020'de yaşanan bir dizi flash loan saldırısı, sadece bu protokolü değil, tüm DeFi ekosistemini derinden sarstı.
2020'nin başlarında DeFi sektörü yeni yeni büyümeye başlamıştı. Kullanıcılar geleneksel finans sisteminin dışında faiz alabiliyor, kredi verebiliyor, likidite sağlayarak gelir elde edebiliyordu. İşte bu çerçevede, bZx Protocol de merkeziyetsiz bir borç verme protokolü olarak öne çıkıyordu.
İlginizi Çekebilir: Lykke Exchange Sessiz Hack – İsviçre'de Güven Çöküşü
Ancak bu umut verici atmosfer, Şubat 2020’de peş peşe gelen saldırılarla yerle bir oldu. Her şey bir flash loan (anlık borç) ile başladı. Flash loan, bir kullanıcıya herhangi bir teminat gerektirmeksizin kısa süreli (bir işlem bloğu içinde) borç verilmesine dayanır. Yani borç alınır, kullanılır ve işlem bitmeden iade edilirse sistem bunu onaylar.
İşte saldırgan, Aave protokolünden 10 bin ETH flash loan aldı. Bu fonu kullanarak başka bir platformda (Kyber & Uniswap) fiyat manipülasyonu yaptı. Sonrasında bZx protokolünün oracle sisteminden aldığı fiyat verisini manipüle ederek, sistemin kendisine olması gerekenden çok daha fazla kredi vermesini sağladı.
Saldırgan, zincirleme işlemlerle teminat olarak gösterdiği değeri şişirdi, borç aldı ve ardından fiyatı eski haline getirerek kazancı cüzdanına aktardı. Bu süreçte bZx yaklaşık 350 bin dolarlık kayba uğradı. Bu, o dönem için DeFi dünyasında oldukça büyüktü.
Ancak esas kırılma noktası burada değildi. Olaydan sadece birkaç gün sonra, bZx ikinci kez aynı yöntemle hacklendi. Bu defa zarar 645 bin dolardı. Toplamda protokol bir hafta içinde 1 milyon dolardan fazla kayıp yaşadı.
Olayın ardından geliştirici ekip yoğun şekilde eleştirildi. Çünkü sistem, oracle fiyat kaynaklarına karşı tamamen savunmasızdı. Üstelik kod denetimleri yapılmıştı, ancak bu gibi manipülasyon senaryoları öngörülmemişti. Protokol, kullanıcılarını bilgilendirmekte geç kaldı ve “otomatikleşmenin” insan gözetimi olmadan nasıl sorun yaratabileceğini gösterdi.
Bu iki saldırıdan sonra DeFi protokollerinde “flash loan” ifadesi neredeyse bir kabus olarak anılmaya başlandı. Oracle sistemlerinin güvenilirliği, fiyat akışlarının merkeziyetsizliği ve zamanlama doğrulaması gibi kavramlar sektörde ilk kez ciddi şekilde tartışıldı.
bZx ekibi, sistemdeki oracle kullanımını değiştirdi ve Chainlink gibi daha güvenilir ağlara geçiş yaptı. Ayrıca güvenlik denetimlerini artırmak adına açık kaynak topluluklarıyla iş birliği başlattı. Ancak itibar zedelenmişti.
Bu olayın sektöre etkisi çok daha büyüktü. DeFi projeleri artık sadece “kodu çalışıyor mu” değil, “kod kötüye kullanılabilir mi?” sorusunu sormaya başladı. bZx hack’i, DeFi’nin masumiyetini kaybettiği ilk büyük olaylardan biri olarak tarihe geçti.