Uranium Finance Exploit – BSC Üzerinde 50 Milyon Dolarlık Akıl Dışı Transfer
Sadece birkaç satır kod, tüm sistemi çökertti. Uranium Finance’teki küçük bir takas hatası, 50 milyon dolarlık büyük bir soyguna dönüştü.
Uranium Finance, Binance Smart Chain (BSC) üzerinde kurulan otomatik piyasa yapıcı (AMM) tarzı bir DeFi protokolüydü. Proje, düşük ücretli işlem yapısıyla PancakeSwap’in bir alternatifi olmayı amaçlıyordu. Ancak 2021 Nisan ayında gerçekleştirilen bir sözleşme yükseltmesi, platformun sonunu getiren hatayı içeriyordu: Swap fonksiyonundaki basit bir matematiksel yanlışlık, milyonlarca dolarlık kayba yol açtı.
İlginizi Çekebilir: Ava Labs Belgeleri – Emin Gün Sirer ve İddiaların Gölgesinde Avalanche
Uranium ekibi, versiyon 2.1'e geçiş yaparken yeni swap fonksiyonunu entegre etti. Ancak bu kod parçasında, işlem sırasında alınan miktarların hesaplanmasında kullanılan oranlama formülü yanlış yazılmıştı. Bu hata, saldırganın sistemden hak ettiğinden fazla token çekmesine izin veriyordu. Dahası, saldırgan sistemin upgrade’e hazırlanma sürecinden haberdardı. Bu da içerden bilgi sızdırılmış olabileceği şüphesini doğurdu.
20 Nisan 2021 gecesi, Uranium Finance akıllı kontratları yükseltme sonrası yayına alındı. Bu sırada saldırgan harekete geçti. Swap işlevini kullanarak zincir içi bir dizi karmaşık işlem gerçekleştirdi. Normalde birkaç bin dolarlık işlem hacmine sahip bir pariteden başlayan bu süreç, çok sayıda token çifti üzerinden milyarlarca dolar değerinde işlem gibi gösterildi. Gerçekte bu hacimler yoktu, yalnızca kodda oluşan hata üzerinden yaratılmış sanal bir avantajdı.
Saldırgan bu işlemleri zincir üstü gözlemcilerin dikkatini çekmeyecek kadar hızlı ve otomatik biçimde gerçekleştirdi. Toplamda yaklaşık 50 milyon dolar değerinde token, birden fazla cüzdana dağıtılarak sistem dışına çıkarıldı. Bu token’ların büyük bölümü hızla gizli cüzdanlara, ardından da karıştırıcı (mixer) sistemlere gönderildi. Sonuç olarak izlenebilirlik büyük ölçüde kaybedildi.
Olayın ortaya çıkmasıyla birlikte Uranium Finance ekibi projeyi derhal durdurdu ve bir açıklama yayımladı. Ancak bu açıklama tatmin edici değildi. Toplulukta büyük bir öfke hakimdi. Proje geliştiricilerinin kodu düzgün test etmemesi, akıllı kontratların denetlenmemesi ve geçiş sürecinin şeffaf olmaması eleştiri yağmuruna tutuldu.
Bazı zincir üstü analistlere göre, saldırgan sadece dışarıdan biri değil; projeye daha önce katkı sağlayan kişilerden biri de olabilir. Bu ihtimal, “içeriden iş” tartışmalarını yeniden gündeme getirdi. Çünkü saldırgan, upgrade zamanlamasını, yeni kod yapısını ve zayıflığı neredeyse anında tespit etmişti. Bu tür bilgiler, herkese açık değildi.
Uranium Finance, saldırı sonrası faaliyetlerini sonlandırdı. Kullanıcılara fonların geri ödenmesi için herhangi bir plan sunulmadı. Kayıplar kalıcıydı. Olay, BSC ağında yaşanan en büyük DeFi hacklerinden biri olarak kayıtlara geçti.
Bu saldırı, kodun gücünü değil; küçük bir matematiksel hatanın milyonlarca dolara mal olabileceğini gösterdi. Aynı zamanda DeFi projelerinde sadece inovasyonun değil, denetimin, dikkatli geçiş süreçlerinin ve topluluk güveninin ne kadar önemli olduğunu bir kez daha kanıtladı.