Merkezi Olmayan Finans güvenlik sorunları hâlâ ciddi, YFI protokolü flaş kredi̇ saldirisi ile karşılaştı
Son yıllarda, Merkezi Olmayan Finans alanında güvenlik kazaları sıkça meydana geldi ve toplam kayıplar yüz milyonlarca doları buldu. Sektördeki uzmanlar riskleri defalarca uyarmış olsalar da, geliştiriciler yeterince önem vermemiş gibi görünüyor. Pazarın sürekli olarak hareketli olduğu ve kilitli varlıkların boyutunun sürekli arttığı bir ortamda, potansiyel güvenlik açıkları hala etkili bir şekilde çözülmemiştir.
2021 yılının başında, "Merkezi Olmayan Finansın Kralı" olarak anılan Yearn Finance protokolü, flaş kredi saldırısına uğradı. Güvenlik kuruluşlarının analizine göre, saldırganlar esasen bu protokolün DAI strateji havuzunu hedef aldı. Saldırı süreci kabaca şu şekildedir:
Birçok borç verme platformundan büyük miktarda ETH Flaş Kredisi alın
ETH kullanarak bir borç verme platformunda DAI ve USDC ödünç almak
Borç alınan stabil paranın çoğunu bir likidite havuzuna yatırarak, bunun büyük bir likiditesini kontrol etmek.
Havuzdaki token oranlarını manipüle ederek DAI'nin göreceli olarak değer kaybetmesini sağlamak
Kalan DAI'yi hedef strateji havuzuna yatırın ve ilgili işlemleri başlatın
Havuzdaki token oranını dengelemek
Strateji havuzunu çekme işlemini tetikle, oran farklarını kullanarak arbitraj yap.
Yukarıdaki adımları birden fazla kez tekrarladıktan sonra flaş krediyi iade edin ve kar elde edin.
Bu saldırı Yearn Finance'a on milyonlarca dolar zarar verdi.
Aslında, sorunun kökeni flaş kredilerde değil, zayıf fiyat mekanizmasındadır. YFI ile belirli bir DEX arasındaki kombinasyon, LP paylarını kullanarak fiyatı belirler; bu yöntem kolayca manipüle edilebilir. Her bir DeFi protokolünü farklı ülkelerle karşılaştırabiliriz, saldırganlar ise kurnaz tüccarlardır ve kurallar arasındaki farklılıklardan yararlanarak arbitraj fırsatları ararlar.
Şu anda birçok DeFi geliştiricisi hız ve verimlilik peşinde koşarken, blok zincirinin özünü göz ardı ediyor. Bitcoin'in güvenliği sağlamak için tüm ağ uzlaşmasını kullanmasının aksine, bazı projeler yalnızca birkaç "güvenilir" düğüm veya basit LP paylarına dayanarak fiyatı belirliyor ve etkili bir doğrulama mekanizmasından yoksun. Bu yaklaşım, blok zincirinin merkeziyetsiz olma anlayışıyla çelişiyor.
Bu sorunu çözmek için bazı protokoller daha güvenli fiyat mekanizmalarını araştırıyor. Örneğin, bir protokol, zincir üzerinde izin gerektirmeyen ve herkes tarafından doğrulanabilen bir arbitrajsız fiyat oluşturmayı hedefliyor. Madenciler/doğrulayıcılar arasında çok boyutlu işbirliği yapmayan oyunlar aracılığıyla daha güvenilir zincir üstü fiyat verileri oluşturulmaktadır.
Genel olarak, blok zincirinin merkeziyetsiz doğasına sadık kalmak, güvenliğe önem vermek ve sadece verimliliği aramaktan kaçınmak, sektörün sağlıklı gelişimi için doğru yönüdür.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
3
Share
Comment
0/400
AirdropHuntress
· 08-06 01:57
Yine DAI strateji havuzunun açığı, hackerların eski frenleriyle ha!
YFI protokolü flaş kredi saldırısı ile karşılaştı, Merkezi Olmayan Finans güvenlik sorunu bir kez daha alarm veriyor
Merkezi Olmayan Finans güvenlik sorunları hâlâ ciddi, YFI protokolü flaş kredi̇ saldirisi ile karşılaştı
Son yıllarda, Merkezi Olmayan Finans alanında güvenlik kazaları sıkça meydana geldi ve toplam kayıplar yüz milyonlarca doları buldu. Sektördeki uzmanlar riskleri defalarca uyarmış olsalar da, geliştiriciler yeterince önem vermemiş gibi görünüyor. Pazarın sürekli olarak hareketli olduğu ve kilitli varlıkların boyutunun sürekli arttığı bir ortamda, potansiyel güvenlik açıkları hala etkili bir şekilde çözülmemiştir.
2021 yılının başında, "Merkezi Olmayan Finansın Kralı" olarak anılan Yearn Finance protokolü, flaş kredi saldırısına uğradı. Güvenlik kuruluşlarının analizine göre, saldırganlar esasen bu protokolün DAI strateji havuzunu hedef aldı. Saldırı süreci kabaca şu şekildedir:
Bu saldırı Yearn Finance'a on milyonlarca dolar zarar verdi.
Aslında, sorunun kökeni flaş kredilerde değil, zayıf fiyat mekanizmasındadır. YFI ile belirli bir DEX arasındaki kombinasyon, LP paylarını kullanarak fiyatı belirler; bu yöntem kolayca manipüle edilebilir. Her bir DeFi protokolünü farklı ülkelerle karşılaştırabiliriz, saldırganlar ise kurnaz tüccarlardır ve kurallar arasındaki farklılıklardan yararlanarak arbitraj fırsatları ararlar.
Şu anda birçok DeFi geliştiricisi hız ve verimlilik peşinde koşarken, blok zincirinin özünü göz ardı ediyor. Bitcoin'in güvenliği sağlamak için tüm ağ uzlaşmasını kullanmasının aksine, bazı projeler yalnızca birkaç "güvenilir" düğüm veya basit LP paylarına dayanarak fiyatı belirliyor ve etkili bir doğrulama mekanizmasından yoksun. Bu yaklaşım, blok zincirinin merkeziyetsiz olma anlayışıyla çelişiyor.
Bu sorunu çözmek için bazı protokoller daha güvenli fiyat mekanizmalarını araştırıyor. Örneğin, bir protokol, zincir üzerinde izin gerektirmeyen ve herkes tarafından doğrulanabilen bir arbitrajsız fiyat oluşturmayı hedefliyor. Madenciler/doğrulayıcılar arasında çok boyutlu işbirliği yapmayan oyunlar aracılığıyla daha güvenilir zincir üstü fiyat verileri oluşturulmaktadır.
Genel olarak, blok zincirinin merkeziyetsiz doğasına sadık kalmak, güvenliğe önem vermek ve sadece verimliliği aramaktan kaçınmak, sektörün sağlıklı gelişimi için doğru yönüdür.