Pickle Finance Hack – Yönlendirilmiş Saldırı mı, Kod Hatası mı?
Bir yield farming protokolü, karmaşık “jar” yapısıyla kullanıcı fonlarını optimize ediyordu. Ta ki biri, bu sistemi sinsi bir tuzakla kırana kadar.
Kasım 2020’de, DeFi dünyası henüz flash loan saldırıları ve zincir üstü manipülasyonlara yeterince hazır değildi. Projeler hızla büyüyor, yatırımlar fışkırıyor, ama denetim süreçleri ve güvenlik duvarları bu hızla yarışamıyordu. O dönem yıldızı parlayan projelerden biri olan Pickle Finance, yield farming kullanıcılarına sunduğu “jar” adı verilen stratejik kasalarla dikkat çekiyordu. Ancak içlerinden biri, görünmez bir saldırının hedefi hâline geldi: pDAI Jar.
İlginizi Çekebilir: Uranium Finance Exploit – BSC Üzerinde 50 Milyon Dolarlık Akıl Dışı Transfer
Pickle Finance’in “jar” sistemi, kullanıcıların stablecoin’lerini belirli stratejilerle büyütmelerini sağlıyordu. Örneğin, DAI jar’ı Compound protokolüyle etkileşim kurarak faiz kazancı getiriyordu. Bu sistemin çekirdeğinde karmaşık proxy kontratları bulunuyordu — ve bu, saldırının da kapısını aralayan zayıflıktı.
21 Kasım 2020 günü, saldırgan pDAI jar’ına yönelik dikkat çekmeyecek bir kontrat yerleştirdi. Bu kontrat, Pickle’ın vault sistemiyle benzer bir arayüze sahipti ancak fonları aynı şekilde korumuyordu. Ardından pDAI jar’ını bu sahte kontrata yönlendirmeyi başardı. Pickle Finance sistemi bu yeni kontratı “geçerli bir strateji” olarak kabul etti. Sonrası tam bir teknik illüzyondu.
Saldırgan, fonların Compound’a yatırıldığına dair simülasyonlar gerçekleştirdi. Kodda yapılan yönlendirme, Pickle’ın vault yapısının göremeyeceği kadar derin bir yapının içinde gizlenmişti. Böylece yüz binlerce dolar değerindeki pDAI token’lar sahte stratejiye yatırılmış gibi gösterildi. Ardından, sistem bu varlıkların faiz kazandığını varsayarak yeni fonlar tahsis etti. Gerçekte bu fonlar hiç kazanılmamıştı. Saldırgan, sahte faiz getirilerinden faydalanarak toplam 19.7 milyon dolar değerindeki DAI’yi sistemden çekmeyi başardı.
Bu saldırı, “flash loan” saldırılarından farklıydı. Bu, bir taktik illüzyondu. Akıllı kontratlar kandırılmış, sistemin strateji kimliği kontrol edilmemişti. Pickle ekibi olaydan saatler sonra sistemi durdurdu. pDAI jar’ı donduruldu. Geliştirici ekip “bu saldırı, sistemin bilinçli şekilde suistimal edildiği bir zafiyetle gerçekleştirildi” açıklamasında bulundu.
DeFi topluluğunda ise iki büyük tartışma başladı. Birincisi: Bu bir dış saldırı mıydı, yoksa içerden bir yapı mı sistemin zaafını ortaya koymuştu? Çünkü saldırgan, protokolün tüm strateji mekanizmasını, upgrade yapısını ve yönlendirme mimarisini detaylarıyla biliyor gibiydi. İkincisi: Pickle Finance gibi görece küçük ama sofistike projelerin, zincir üzerindeki likiditeyi yöneten sistemlerinin ne kadar güvenli olabileceğiydi.
Pickle, daha sonra Yearn Finance ile entegrasyon için adım attı. Yearn’in mühendislik altyapısı sayesinde sistemin denetimi daha güvenli hâle getirilmeye çalışıldı. Ancak itibar kaybı geri dönülmezdi. Birçok kullanıcı, pDAI vakasından sonra protokole olan güvenini yitirdi.
Bu olay, kod kalitesinin ötesinde, sistem tasarımının da nasıl suistimal edilebileceğini gösterdi. Güvenlik açıkları sadece kod hatalarından değil, tasarımsal gevşekliklerden de kaynaklanır. Pickle Finance’in yaşadığı kayıp, DeFi tarihinde “görünmeyen saldırıların” simgesi olarak anılmaya devam ediyor.