Spartan Protocol Hack – Likidite Mekanizmasındaki Sessiz Patlama
Saldırgan kodu kırmadı, formülü çözdü. Spartan Protocol, havuz değerleme algoritmasındaki bir hata yüzünden 30 milyon doları kaybetti.
Spartan Protocol, Binance Smart Chain üzerinde 2020 sonlarında hayata geçmiş bir proje olarak, merkeziyetsiz finans protokolleri arasında kendine özgü bir alan yaratmıştı. Diğer AMM’lerden (Automated Market Maker) farklı olarak Spartan, teminatlandırılmış sentetik varlıkların oluşturulmasını hedefliyordu. Kullanıcılar, likidite sağlayarak yeni varlıklar oluşturabiliyor ve havuzlar üzerinden getiri elde edebiliyordu.
İlginizi Çekebilir: Indexed Finance Hack – Oracle Hatasıyla Gelen Sessiz Soygun
Yatırımcıların ilgisini çeken şey, Spartan’ın TVL (Total Value Locked) büyüklüğünün kısa sürede milyonlarca dolara ulaşmasıydı. Ancak bu büyümenin arkasında, kimsenin dikkat etmediği bir güvenlik açığı yatıyordu: havuz değerleme formülü.
2021 yılının Nisan ayının son günlerinde, bir saldırgan platformun bu zayıf noktasını tespit etti. Spartan’ın likidite havuzu değerleme fonksiyonu, token eşleşmelerindeki fiyat sapmalarını doğru şekilde hesaplamıyordu. Bu hata, havuzdaki gerçek değerden saparak sistemin token’ları olduğundan daha değerli görmesine neden oluyordu.
Saldırgan ilk adımda büyük bir miktar flash loan aldı. Ardından bu token’ları Spartan Protocol’deki hedef havuza yatırarak likidite sağladı. Havuz, bu yatırımı olağandışı şekilde değerli zannetti. Bu da saldırgana, gerçekte sahip olduğundan çok daha fazla likidite token’ı verdi. Birkaç işlemle bu token’ları sistemden çıkardı. Ardından borç aldığı token’ları geri ödedi ve kârını diğer cüzdanlara aktardı.
Tüm süreç dakikalar içinde tamamlandı. Kaybedilen toplam miktar: yaklaşık 30 milyon dolar.
Spartan ekibi, saldırıyı doğruladıktan sonra teknik analizleri yayımladı. Kodda herhangi bir saldırı izi yoktu; her şey protokolün kuralları içinde gerçekleşmişti. Ancak “matematiksel doğruluk” eksikti. Havuz hesaplama algoritması, küçük bir mantıksal hatayla sistemin tamamını kırılgan hâle getirmişti.
Bu olay, yazılım açıklarından farklı bir sorunu gün yüzüne çıkardı: DeFi projelerinde sadece kod güvenliği değil, matematiksel modellerin denetimi de kritik bir öneme sahipti. Özellikle AMM tabanlı protokoller, değerleme fonksiyonlarına dayanıyordu. Ve bu fonksiyonlardaki en küçük bir hata, milyonlarca dolarlık kayıplara neden olabiliyordu.
Spartan topluluğu, saldırının ardından yeniden yapılanma sürecine girdi. TVL hızla düştü, yatırımcılar platformdan çekildi. Saldırganın kimliği hiçbir zaman tespit edilemedi. Zincir üstü izler parçalara ayrıldı, fonlar karıştırıcı sistemlere dağıtıldı.
Platform daha sonra v2 sürümünü yayınladı, algoritmaları baştan yazıldı. Ancak eski itibarını yeniden kazanmak kolay olmadı. Spartan, bu olaydan sonra "bir formül hatasıyla yok olan sistemler" listesinin başına yazıldı.
Bu olayın verdiği en önemli ders şuydu: Akıllı kontratlar yalnızca güvenlik açıkları barındırmaz, aynı zamanda “doğru çalışıyor” görünen sistemler bile yanlış temeller üzerine inşa edilmiş olabilir. DeFi'nin gücü, doğru matematikle başlar.