Indexed Finance Hack – Oracle Hatasıyla Gelen Sessiz Soygun
Fiyat doğru görünüyordu, ama gerçek değildi. Indexed Finance hack’i, oracle manipülasyonunun ne kadar zararsız görünüp ölümcül olabileceğini gösterdi.
Indexed Finance, 2021 yılı boyunca DeFi’nin hızlı büyüyen projeleri arasında kendine özel bir yer edindi. Projenin temel fikri, geleneksel borsalardaki endeks fonlarının kripto versiyonunu oluşturmaktı. Kullanıcılar, belirli sektör ya da protokol temelli token sepetlerine yatırım yapabiliyor; örneğin DeFi sektörünü temsil eden bir “DEFI5” endeksi gibi.
İlginizi Çekebilir. Meerkat Finance Rugpull – 24 Saatte 31 Milyon Dolar Nasıl Buharlaştı?
Bu tür sistemlerde, portföy dengeleri oracle verileriyle otomatik olarak belirleniyordu. Her token’ın piyasa değeri, dış kaynaklardan gelen fiyatlarla hesaplanıyor, bu verilerle sepet içindeki ağırlığı ayarlanıyordu. Indexed Finance’in yenilikçi modeli, kullanıcı dostu arayüzü ve istikrarlı performansı, onu ciddi bir TVL (total value locked) seviyesine ulaştırmıştı.
Ancak Ekim 2021’de yaşanan bir olay, bu sistemin arkasındaki yapının ne kadar hassas olduğunu ortaya çıkardı. Saldırgan, projeye yeni eklenen düşük likiditeli bir token olan ORCL5’i hedef aldı. Bu token’ın fiyatı, zincir dışı oracle verilerine değil, merkeziyetsiz borsalarda oluşan likidite bazlı fiyatlara bağlıydı. Bu durum, onu manipülasyona açık hale getiriyordu.
Saldırgan, düşük likiditeli token’ı borsalarda kendi cüzdanları arasında alım-satım yaparak suni şekilde şişirdi. Bu fiyat Indexed Finance oracle’ına yansıdı ve sistem bu token’ı portföyde “aşırı değerli” olarak algıladı. Ardından saldırgan, elindeki token’ları sepet içindeki diğer token’larla takas ederek çıkış yaptı.
Bu işlem birkaç adımda, dakikalar içinde gerçekleşti. Sonuç: Indexed Finance’ten yaklaşık 16 milyon dolar değerinde token çekildi. İşlem blok zincirinde gerçekleşmişti, her şey “kuralına uygun” görünüyordu — ama sistemin tasarımı kandırılmıştı.
Indexed Finance ekibi, saldırının ardından bir açıklama yayınladı. Bu açıklamada, saldırganın kimliğinin tespit edildiği ve İngiltere’de yaşayan genç bir bilgisayar bilimi öğrencisi olduğuna dair bilgilere yer verildi. Bu, DeFi tarihinde zincir üstü saldırgan kimliğinin en hızlı teşhis edildiği olaylardan biri oldu.
Ancak bu gelişmeye rağmen, saldırganla iletişim kurulamadı. Fonların büyük kısmı iade edilmedi. Topluluk, saldırganın iade teklifini kabul etmesi için çağrılar yaptı; bazı hukukçular süreci “etik ve yasal sınırların bulanıklaştığı bir test vakası” olarak tanımladı.
Indexed Finance, olayı takiben yeni bir yönetişim mekanizması duyurdu. Oracle sistemleri güncellendi, düşük likiditeli token’lar artık sepetlere doğrudan eklenmeyecekti. Ancak itibar zedelenmişti. Pek çok kullanıcı platformdan çıktı, TVL hızla düştü.
Bu olay, DeFi’nin oracle bağımlılığı konusundaki zaaflarını bir kez daha gözler önüne serdi. Kodlar sağlam olsa bile, sistem dışındaki verilerin doğruluğu sorgulanmadan işleniyorsa sonuç felaket olabiliyordu.
Indexed Finance hack’i, doğrudan bir sistem açığından değil, sistemin varsayımlarının kötüye kullanılmasından kaynaklanıyordu. Bu, daha önce flash loan gibi saldırılarda gördüğümüz teknik manipülasyonlardan farklıydı — burada saldırgan yalnızca veri beslemesini eğdi, ve bu yetti.
Bugün Indexed Finance hâlâ var, ancak 2021’de yaşadığı o kırılma noktası platformun kaderini belirledi. Bu olay, bir oracle’ın güvenliği ile milyarlarca dolarlık DeFi varlığı arasındaki ince çizginin ne kadar kolay aşılabileceğini öğretti.