Yearn Finance Exploit – Vault’ta Gizli Açık
Akıllı kasalar akıllı olabilir… ama içlerine gizlenmiş küçük bir boşluk, tüm yatırımı buharlaştırabilir. Yearn Finance vault saldırısı, küçük hataların büyük kayıplar doğurduğu bir başka örnekti.
Yearn Finance, DeFi’nin en saygın platformlarından biri olarak 2020 boğa sezonunda dikkat çekmişti. Andre Cronje’nin liderliğinde geliştirilen protokol, “vault” adı verilen akıllı kasalarla kullanıcı fonlarını farklı stratejilerle işleyerek pasif gelir sağlıyordu. Kullanıcılar, örneğin DAI yatırır, protokol bu DAI’leri borç verme, farming ve likidite havuzlarında dolaştırarak getiri üretirdi.
İlginizi Çekebilir. Multichain Crisis – CEO Kayıp, Fonlar Dondurulmuş
Ancak 4 Şubat 2021’de, Yearn’ın yDAI vault’unda sistemin dengesini bozan bir hareket tespit edildi. Saatler içinde 11 milyon dolar zarar oluştu.
Saldırı, doğrudan bir hack değil, tasarım boşluğuna karşı yapılan stratejik bir istismardı.
Yearn’ın vault stratejileri arasında Curve Finance ve lending platformlarına likidite sağlama yolları vardı. Fakat bu stratejiler zincirleme hareket ederken, saldırgan sistemin fonları yönlendirdiği noktadaki zayıf bir fiyatlandırma zamanlamasını hedef aldı.
Saldırgan, karmaşık bir işlem dizisiyle vault’un içinde tutulan DAI’lerin değerini kendi lehine olacak şekilde manipüle etti. Önce yDAI pozisyonları şişirildi, ardından hızlı bir şekilde geri çekildi. Bu hareketler “farming getirisini” aşırı artırmış gibi görünmesini sağladı. Ancak aslında değer üretmeyen, sadece borçlanma temelli şişirme hareketiydi.
Flash loan kullanan saldırgan, kendi yarattığı bu yapay getirilerden faydalanarak sistemdeki gerçek fonları çekti. Yearn vault algoritması bu işlemleri fark edemedi çünkü her adım, akıllı kontrat kuralları dâhilindeydi.
Bu olayda 11 milyon dolar zarar oluştu. Ancak Yearn Finance, daha önce hack’lenmiş platformlara kıyasla hızlı aksiyon aldı. Protokol geliştiricileri vault stratejisini devre dışı bıraktı, saldırıyı analiz etti ve kısa süre içinde düzeltme yayınladı.
Ayrıca, Yearn DAO kararıyla yDAI kullanıcılarının zararı sigorta fonlarından karşılandı. Bu hareket, topluluk içinde güvenin sürmesini sağladı.
Yine de bu olay, akıllı stratejilerin insan açgözlülüğü karşısında ne kadar savunmasız kalabileceğini gösterdi.
Yearn vakası, şu gerçeği vurguladı:
Kodda açık olmayabilir, ama stratejide zaaf varsa...
akıllı kontratlar aptalca kaybedebilir.