Harvest Finance – DeFi Saldırısı ve Topluluk Tepkisi
Ekim 2020’de merkeziyetsiz finans dünyası bir sabaha daha şokla uyandı. Harvest Finance, sadece birkaç dakika içinde 24 milyon dolardan fazla fon kaybına uğramıştı. Bu olay, DeFi projelerinin “akıllı” ama bazen çok “kırılgan” olduğunu herkese gösterdi
Harvest Finance, kullanıcıların kripto paralarını getirisi yüksek protokollerde otomatik olarak yöneten, yield farming tabanlı bir DeFi protokolüydü. Sistem, kullanıcı fonlarını farklı stratejilerle dolaştırıyor ve maksimum kârı hedefliyordu. Ancak 26 Ekim 2020’de bu akıllı sistemin bir zaafı ölümcül şekilde istismar edildi.
İlginizi Çekebilir: BZX Protocol Hack – Flash Loan Saldırılarının Başlangıcı
Saldırı, günün erken saatlerinde başladı. Bilinmeyen bir aktör, Uniswap üzerinden büyük miktarda flash loan alarak USDT ve USDC likidite havuzlarında ani fiyat dalgalanmaları oluşturdu. Bu dalgalanmalar, Harvest’ın kullandığı oracle sistemini manipüle etmeye yeterliydi.
Harvest, fiyatları bu dengesiz kaynaklardan aldığı için sistem gerçek değeri yanlış algıladı. Bu durumda saldırgan, fiyatı şişirilmiş varlıkları teminat göstererek fazla miktarda token geri alabildi. Bu süreç birkaç defa tekrarlandı ve toplamda 24 milyon dolar değerinde USDT ve USDC sistemden çekildi.
Olay sadece birkaç dakika sürdü.
Harvest Finance, durumu hızla tespit etti ve topluluğa Twitter üzerinden açıklama yaptı. Ancak açıklama yeterince detaylı değildi. Toplulukta büyük panik yaşandı. FARM token’ının fiyatı kısa sürede %60’tan fazla düştü. Protokole olan güven neredeyse bir gecede yok oldu.
Ekip, saldırıyı gerçekleştiren adresin merkezi borsa KuCoin ile bağlantılı olduğunu tespit etti. Hatta saldırganın elde ettiği kârın bir kısmını yaktığını (sistem dışına attığını) da açıkladılar. Bu durum, saldırganın belki de Harvest Finance topluluğunun bir üyesi olabileceğini düşündürdü. Ama bu sadece bir spekülasyon olarak kaldı.
İlginç olan, saldırının teknik olarak sistemin kurallarını ihlal etmemesiydi. Yani saldırgan, sisteme dışarıdan bir “zarar vermek” yerine, içindeki mekanizmaları aşırı dozda kullanarak kazanç sağladı.
Olayın ardından Harvest Finance, kullanıcıların zararını kısmen karşılamaya çalıştı. Topluluk oylamasıyla bir telafi fonu kuruldu. Bazı kullanıcılar tazminat aldı, bazıları ise sistemi tamamen terk etti.
Bu olay, DeFi’de "kod çalışıyor olabilir ama etik mi?" tartışmalarını alevlendirdi. Ayrıca oracle bağımlılığı, fiyat kaynağı güvenliği ve flash loan savunmaları DeFi dünyasında yeniden gözden geçirildi.
Harvest Finance olayı, kullanıcı fonlarının ne kadar hızlı yok olabileceğini ve bir DeFi protokolünün güvenilirliğinin sadece kodla değil, şeffaflık ve toplulukla da inşa edildiğini tüm dünyaya gösterdi.