Cream Finance Hack – DeFi’de 400 Milyon Dolarlık Kayıp
Cream Finance, merkeziyetsiz borç verme protokolleri arasında güvenilirliğiyle öne çıkarken, 2021 yılında yaşanan bir dizi saldırıyla adını kripto tarihinin en büyük DeFi kayıpları arasına yazdırdı. Toplamda üç büyük saldırıya uğrayan protokol, özellikle Ekim 2021’de yaşanan son saldırıda yaklaşık 130 milyon dolar kaybetti. Bu olay, toplamda 400 milyon doları aşan bir kayıplar zincirine dönüştü ve DeFi dünyasında güvenlik tartışmalarını yeniden alevlendirdi.
Cream Finance, Yearn ekosistemine bağlı olarak çalışan, Ethereum ağı üzerindeki merkeziyetsiz borç verme ve alma protokollerinden biriydi. Kullanıcılar, farklı token’ları sisteme teminat olarak yatırıyor, karşılığında borç alıyor veya faiz kazanıyordu. 2020’nin ortasında hızla büyüyen bu proje, çok sayıda varlığı desteklemesi ve geniş token yelpazesiyle öne çıktı.
İlginizi Çekebilir: Iron Finance – Bank Run Felaketi
Ancak bu çeşitlilik, zamanla bir zafiyete dönüştü. Protokolün birçok token için farklı akıllı sözleşmeler ve oracle bağlantıları tanımlaması, sistemi karmaşık ve denetimi zor hâle getiriyordu. Bu durum, hackerlar için potansiyel birer “açık kapı”ya dönüştü.
İlk büyük saldırı, Şubat 2021’de gerçekleşti. 37.5 milyon dolarlık bir kayıpla sonuçlanan bu olayda, saldırganlar oracle fiyatlamasını manipüle ederek teminat mekanizmasını kandırdı. Sistem, gerçek değeri olmayan token’ları yüksek değerli gibi algıladı ve karşılığında ciddi miktarda likidite sundu.
İkinci büyük darbe, Ağustos 2021’de geldi. Bu sefer saldırı çok daha sofistikeydi: 18 farklı işlem üzerinden koordineli olarak yürütülen bu saldırıda, 29 milyon dolarlık bir kayıp yaşandı. Sistem geliştiricileri ve denetçiler bu sürece müdahale edemedi çünkü işlemler zincir üstünde ve anlık gerçekleşmişti.
Ancak asıl yıkım, Ekim 2021’de yaşandı. Bu üçüncü saldırı, hem miktar hem de etki açısından tarihe geçti. Hackerlar, Cream’in “liquidity pool accounting” sistemindeki bir açığı kullandı. Sistemdeki token bakiyelerini manipüle eden saldırganlar, flash loan’lar yoluyla büyük miktarda teminat göstererek 130 milyon dolar değerinde varlığı sistemden çıkardı.
Saldırı sonrası blockchain analiz firmaları, saldırganın izlediği rotayı detaylı şekilde ortaya koydu. Çalınan varlıklar, Tornado Cash gibi gizlilik araçlarıyla yıkanarak izlenemez hâle getirildi. Cream ekibi saldırıyı doğruladı ancak geri alma ya da tazmin gibi bir girişimde bulunmadı.
Toplamda üç büyük saldırının ardından kayıp miktarı 400 milyon doları aştı. Bu, o tarihe kadar DeFi dünyasındaki en büyük dördüncü hack olayıydı. Cream Finance, itibarını neredeyse tamamen kaybetti. Token fiyatı çakıldı, likidite çöktü ve birçok kullanıcı platformdan ayrıldı.
Olay, DeFi projelerinin sadece “çalışan bir sözleşmeye” değil, kapsamlı bir denetim, oracle yönetimi ve flash loan savunmasına ihtiyaç duyduğunu net bir şekilde ortaya koydu. Ayrıca tek bir platformun birkaç ay içinde defalarca saldırıya uğraması, sistematik güvenlik açıklarının nasıl zincirleme felaketlere yol açabileceğini de gösterdi.
Cream Finance saldırısı, akıllı kontratların “hack’lenmeden önce düşünülmesi gereken şeyler” olduğunu gösterdi. Kod yazmak değil, risk tahmin etmek; DeFi dünyasında en az inovasyon kadar değerli hâle geldi.