Cover Protocol Hack – Sigorta Değil, Açık Kapı
Kullanıcılar kendilerini sigorta altına aldığını sanıyordu. Oysa sistemin açık kapısı, kötü niyetli bir “beyaz şapkalı” saldırgana ardına kadar açıktı.
Cover Protocol, merkeziyetsiz finans sisteminde “sigorta” konseptini gerçekleştirmek üzere kurulan ilk girişimlerden biriydi. Yatırımcılar, akıllı kontrat risklerine karşı kendilerini korumak için platform üzerinden COVER token teminatı karşılığında sigorta alabiliyordu. Eğer protokol çöker ya da hacklenirse, sigorta poliçesi sahiplerine ödemeler yapılacaktı.
İlginizi Çekebilir: Vulcan Forged Hack – Seed Phrase Felaketi
2020 sonuna gelindiğinde, Cover, Yearn Finance tarafından desteklenen prestijli projelerden biri hâline gelmişti. TVL’si milyon dolarları geçmiş, DeFi projeleri için bir “güvence platformu” olmaya başlamıştı. Ancak 28 Aralık 2020 sabahı, sistemin mimarisine dair tüm güven, birkaç saat içinde yerle bir oldu.
Olayın merkezinde, sistemin staking mekanizmasındaki bir hata vardı. Akıllı kontratlardaki reward minting fonksiyonu, dışarıdan gelen bazı işlemleri doğru şekilde doğrulamıyordu. Bu durum, kötü niyetli bir kullanıcının, sistemin farkında olmadığı şekilde sınırsız sayıda COVER token basabilmesine imkân veriyordu.
Ve bu tam olarak yaşandı.
Kimliği bilinmeyen bir kullanıcı, zincir üzerinde ardışık işlemlerle yüz binlerce COVER token bastı. Ardından bu token'ları merkeziyetsiz borsalara aktarıp takas etmeye başladı. Fiyat ilk saatlerde hızla düştü. COVER, bir anda %90'ın üzerinde değer kaybetti. Protokole olan güven neredeyse anında sıfırlandı.
Ancak olay burada bitmedi. Saldırgan, çaldığı token'ların büyük kısmını daha sonra aynı cüzdan üzerinden iade etti. Blockchain üzerine “white hat” imzasını bırakarak geri adım attı. Bu, “kötü niyetli ama uyarı amaçlı” bir saldırı olarak algılandı. Ne var ki piyasadaki COVER token’ların büyük bölümü hâlihazırda değerini kaybetmişti.
Bu türden "infinite mint" saldırıları, sistemde bir güvenlik açığından çok, mekanizma tasarımındaki ihmallerin sonucuydu. Akıllı kontrat denetimlerinin yüzeysel kaldığı, ödül sistemlerinin sınır kontrolünün zayıf olduğu bir ortamda bu tip manipülasyonlar her zaman mümkündü.
Cover ekibi hızla açıklama yaptı, geri ödeme planı hazırladı ve zararı hafifletmeye çalıştı. Ancak proje itibarını toparlayamadı. Zarar gören yatırımcıların büyük bölümü platformdan çıktı. COVER token’in fiyatı, asla eski seviyelerine dönemedi.
Yearn Finance bile daha sonra protokolle olan entegrasyonunu sonlandırdı. Geliştirici ekip projenin sonlandırılacağını duyurdu. Kullanıcı fonları mümkün olduğunca iade edildi, ancak topluluk bir daha toparlanamadı.
Cover vakası, DeFi’nin “sigorta” gibi geleneksel finans araçlarını uygularken ne kadar karmaşık katmanlarla yüzleştiğini gösterdi. Kullanıcılar yalnızca bir yazılım hatasından değil, sistemin ta kendisinden zarar görmüştü. Üstelik bu zarar, bir hacker tarafından değil — sistemin kendi içinde barındırdığı zaaflarla yaşanmıştı.
Daha da önemlisi, “merkeziyetsiz” bir sigorta sisteminde bile güvenlik açıklarının kontrolü merkezi ekiplerin inisiyatifine kalmıştı. Kodlar açık olsa bile, çoğu yatırımcı bu detayları analiz edecek teknik bilgiye sahip değildi. Bu yüzden COVER gibi platformlara duyulan güven, aslında merkezi denetim yerine sosyal güven üzerine kuruluydu. Bu güven kırıldığında, yeniden inşa etmek neredeyse imkânsızdı.
Cover Protocol artık var değil. Ancak hikayesi, DeFi tarihinde kodla değil sistem tasarımıyla gelen bir yıkımın sembolü olarak kalmaya devam ediyor.