Grim Finance Hack – Vault’ları Çökerten Kod Hatası

Grim Finance, Fantom ağı üzerinde çalışan yield optimizer protokollerinden biriydi. Kullanıcıların yatırdıkları token’ları en verimli havuzlara yönlendiriyor, otomatik yeniden yatırım stratejileriyle pasif gelir sağlıyordu. Proje, güvenli vault sistemleriyle övünüyordu.

İlginizi Çekebilir: Balancer Flash Loan Hack – DeFi’nin Güvenlik Testi

Ancak Aralık 2021’de sistem, büyük bir saldırıyla karşı karşıya kaldı. Saldırgan, sistemin 'beforeDeposit' fonksiyonundaki kritik bir güvenlik açığını kullandı. Bu açık sayesinde aynı işlem içinde defalarca para yatırılıyormuş gibi göstererek, vault sistemini yanıltmayı başardı.

Teknik olarak, sistem her yatırımı yeni bir kullanıcı fonu gibi algılayıp yeniden yield hesaplaması yapıyor, böylece saldırgan sahte yatırımlarla gerçek token’ları çekebiliyordu. Bu işlem sadece birkaç dakikada tamamlandı ve yaklaşık 30 milyon dolar değerinde varlık saldırganın cüzdanına aktarıldı.

Saldırı zincir üstü verilerde net bir şekilde izlendi. Ancak sistemin otomasyonu nedeniyle hiçbir alarm çalmadı. Grim Finance ekibi durumu fark ettiğinde iş işten geçmişti. Protokol tüm işlemleri dondurdu, ancak kullanıcı fonları çoktan kaybedilmişti.

Grim Finance daha sonra açıklama yaptı:

“Bu olay, denetlenmiş kodların bile saldırılara açık olabileceğini kanıtladı.”

Ancak topluluk tatmin olmadı. Saldırının, açık kaynak bir kod parçasının yeterince test edilmemesinden kaynaklandığı ortaya çıktı. Bu, geliştirici ekibin dikkatsizliği olarak görüldü. Proje güvenilirliğini kaybetti, TVL (total value locked) birkaç saat içinde %90 düştü.

Grim Finance saldırısı, DeFi’de "automated vault" sistemlerinin, kullanıcıya kolaylık sağlarken protokolü nasıl savunmasız hâle getirebileceğini gösterdi. Bu olaydan sonra birçok benzer protokol, vault fonksiyonlarını yeniden gözden geçirdi.

DeFi’de en karmaşık stratejiler bile, tek bir eksik doğrulama adımıyla sıfıra indirilebilir. Grim Finance, bu gerçeği zincir üstünde belgelendiği en net örneklerden biri oldu.