Lendf.Me Exploit – DeFi’nin 25 Milyon Dolarlık Ölüm Tuzağı
DeFi tarihinde öyle anlar vardır ki, yalnızca bir satır kodun gerisinde 25 milyon dolarlık bir tuzak saklıdır. Lendf.Me saldırısı, yeniden kullanılabilir token’ların nasıl geri döndürülemez zararlara yol açabileceğini gösterdi.
Lendf.Me, dForce ekosisteminin bir parçası olan ve 2020 yılında hızla popülerleşen bir merkeziyetsiz borç verme protokolüydü. Kullanıcılara teminat vererek borç alma imkânı sunuyordu. Fakat bu güvenli gibi görünen yapının temelinde, Ethereum standardı olan ERC-777 tabanlı bir token'ın kullanımı vardı: imBTC.
imBTC, Bitcoin'e endeksli bir ERC-777 token’dı. ERC-777, ERC-20'nin yerini almak üzere geliştirilen daha gelişmiş bir standarttı. Ancak bir zafiyeti vardı: “reentrancy” çağrılarına açık olması.
İlginizi Çekebilir: Roll Wallet Hack – NFT Üzerinden Gelen Sosyal Mühendislik
Saldırı Nasıl Gerçekleşti?
18 Nisan 2020'de, saldırgan önce Lendf.Me'ye imBTC yatırarak teminat gösterdi. Ardından bu teminatla borç aldı. Ancak burada dikkat edilmesi gereken nokta şuydu:
imBTC'nin transfer fonksiyonu, dış çağrı yapılmasına izin veriyordu.
Bu, akıllı kontratların içindeki işlem sırasının yeniden manipüle edilebileceği anlamına geliyordu.
Saldırgan, bu özelliği kullanarak transfer sırasında tekrar withdraw() fonksiyonunu çağırdı. Böylece aynı varlık üzerinden tekrar tekrar çekim yapılabildi.
Her çekim, sistemin “bu varlık zaten çekildi” kontrolü yapılmadan tamamlandı.
Sonuç olarak saldırgan, küçük bir teminatla Lendf.Me’nin neredeyse tüm likiditesini boşaltmayı başardı.
25 milyon dolar değerindeki tokenlar, saldırganın cüzdanına aktarıldı.
Şaşırtıcı Gelişme: Fonlar Geri Geldi
Bu olaydan bir gün sonra ilginç bir gelişme yaşandı.
Saldırgan, dForce ekibiyle iletişime geçti ve bazı şartlar karşılığında tüm fonları iade etmeyi teklif etti.
Kamuoyuna açıklanmayan bir uzlaşma sonrası, çalınan varlıkların neredeyse tamamı Lendf.Me’ye geri aktarıldı.
Bu durum DeFi tarihinde nadir görülür bir “geri dönüş” olarak kayda geçti.
Ancak dForce topluluğu bu olayın ardından platforma olan güveni büyük ölçüde kaybetti.
Lendf.Me vakası, yalnızca bir kod açığı değildi.
Ethereum üzerindeki token standartlarının ne kadar dikkatle kullanılması gerektiğini gösteren bir ders niteliğindeydi.
Özellikle ERC-777 gibi ileri düzey özellikler taşıyan token’lar, klasik güvenlik mantıklarıyla korunamıyordu.
Bu olay, DeFi güvenliğinde şu temel kuralı tekrar hatırlattı:
“Kod çalışır” demek güvenlidir demek değildir.
Standartlar değiştikçe, riskler de değişir.