PancakeBunny Hack – 200 Milyon Dolarlık Çarpıtılmış Gerçeklik
Bir sabah uyandığınızda, TVL’niz sıfıra düşmüş. Bir flaş krediyle tüm sistem devrilmiş. PancakeBunny bunu yaşadı – hem de göz göre göre.
2021'in ilk yarısında Binance Smart Chain, Ethereum’a kıyasla düşük işlem ücretleriyle patlama yaşıyordu. Bu patlamanın tam ortasında yer alan projelerden biri de PancakeBunny idi. Platform, kullanıcıların likiditelerini çeşitli çiftliklere (farms) ve kasalara (vaults) yatırarak yüksek getiri elde etmesini sağlıyordu. Ancak 19 Mayıs 2021'de yaşanan olay, DeFi tarihinin en büyük fiyat manipülasyonlarından biri olarak kayıtlara geçti.
İlginizi Çekebilir: Pickle Finance Hack – Yönlendirilmiş Saldırı mı, Kod Hatası mı?
sabah, PancakeBunny protokolü 200 milyon dolar üzerinde değere sahip kripto varlıkları kaybetti. Ancak bu olayda saldırgan doğrudan bir açık ya da güvenlik ihlali yapmamıştı. Kullanılan yöntem: flash loan destekli zincir üstü manipülasyondu.
Saldırı, büyük miktarda BNB flash loan alınarak başladı. Saldırgan, bu fonları PancakeSwap üzerinde likidite sağlamak ve Bunny token fiyatını yapay biçimde yükseltmek için kullandı. PancakeBunny'nin fiyat hesaplaması, bu likidite ve swap işlemlerine dayanıyordu. Yani saldırgan, protokolün fiyat oracle’ını manipüle etmişti.
Bu fiyat şişkinliğinden faydalanarak çok sayıda Bunny token basıldı. Saldırgan, bu token'ları hemen piyasaya sürdü. Ancak token’ların gerçekte bir karşılığı olmadığı için, arz patladı ve Bunny fiyatı hızla çakıldı. Kullanıcılar büyük zarar gördü. PancakeBunny'nin yerel token'ı kısa sürede $146’dan $6’ya kadar geriledi. Saldırgan ise flash loan’u geri ödedikten sonra elindeki token’larla piyasadan 200 milyon dolara yakın değerde varlık çıkarmayı başardı.
PancakeBunny ekibi saldırının ardından bir açıklama yayımladı: "Kodumuzda bir açık yoktu; sistemde manipülasyon vardı." Bu açıklama, teknik olarak doğru olsa da kullanıcılar için tatmin edici değildi. Çünkü güvenlik sadece kod sağlamlığıyla değil, ekonomik manipülasyonlara karşı dayanıklılıkla da ölçülüyordu.
Bu saldırı, DeFi protokollerinin fiyat hesaplama sistemlerinde ne kadar kırılgan olduğunu net biçimde ortaya koydu. Oracle sistemlerinin merkeziyetsiz olmaması veya dışarıdan manipülasyona açık olması, milyarlarca dolarlık fonları tehlikeye atabiliyordu. PancakeBunny vakası, bu gerçeği acı bir şekilde hatırlattı.
Toplulukta bazıları, bu olayın planlı olduğunu düşündü. Saldırganın, platformun likidite akışlarını, fiyat hesaplamalarını ve basım mekanizmalarını çok iyi bildiği ortadaydı. Bu da içerden bilgi sızdırıldığı ya da saldırganın eski bir geliştirici olabileceği ihtimallerini gündeme getirdi.
PancakeBunny, sonrasında zarar gören kullanıcılara telafi amaçlı “compensation token” teklif etti. Ancak yatırımcıların büyük kısmı artık güvenini kaybetmişti. Proje bir daha eski günlerine dönemedi. TVL’si %95’ten fazla düştü.
Bu olay DeFi tarihinde şu dersi kalın harflerle yazdı: Akıllı kontrat güvenliği kadar, ekonomik model güvenliği de hayati önemdedir. Ve bazen, gerçek bir “hack” kodlarla değil, sayılarla yapılır.