DeFi’ın Zayıf Noktası “Flash Loan” Nedir ?
Finansal bir devrim yaratmak amacıyla ortaya çıkan DeFi’in sunduğu en devrimsel yeniliklerden birisi olan “Flash Loan”‘lar yakın zamanda bunu kötüye kullanan aktörlerden ötürü aynı zamanda DeFi hareketinin yumuşak karnı olacak gibi gözüküyor… Daha bu sabah önemli DeFi aktörlerinden Fulcrum’un ikinci defa soyulduğunu yazmıştık. Bu sefer ise bu soyulma nasıl gerçekleşiyor derinlemesine incelemek istedik.
Flash Loan Nedir ?
Flash Loan’lar şu sıralar DeFi protokollerini takip edenlerin sıkça duyduğu terimlerin başında geliyor olmalı. Bu durum kısaca, DeFi üzerinde sadece bir blok (Ethereum’da blok süresinin sadece 15 saniye olduğunu unutmayalım) içerisinde yapılan işlemlerin tümü olarak tanımlanabilir. Bu kafa karıştıcı gelebilir ama Flash Loan’lar tam anlamıyla bu yüzden devrimsel yani birden fazla işi tek bir işleme sığdırabilmesinden ötürü. Yakın zamanda kaybettiği paralarla adını duyduğumuz BZX (Fulcrum) platformu Flash Loan verirken de ayrıca bir ücret (fee) talep etmiyor. Yani siz bu 15 saniye içinde aldığınız borcu 15 sn içinde öderseniz hiç bir para ödemiyorsunuz. Flash Loan’da tek kural var yapılacak tüm hareketler bir transfer içinde yapılmalı. Yani borçlanma, aksiyon ve geri ödeme işlemi bir transfer işlemi içerisinde yapılmalı.
Fakat bu sistemden yararlanmak isteyenler çok iyi düzeyde kodlama bilmeli. Hatta sadece bu yeterli değil. Solidity ( Ethereum dili) ile uzun bir zaman geçirdikten sonra Flash Loan’ların tüm detaylarını en ince ayrıntısına kadar öğrenmeli. Bunun sonucunda ağdaki oluşabilecek arbitraj fırsatlarından yada ortaya çıkabilecek farklı fırsatlardan yararlanabilirler. Bu da aslında DeFi’in yazılımcılar ya da bir takım teknoloji meraklısı kimselerden halka ulaşmasının önünde bir engel olarak düşünülebilir lakin bu başka bir yazının konusu olabilir.
Fulcrum (bZx) “Hack” Olayı
2 gün önce bZx’in önce 360.000 $ bugün ise yaklaşık 650.000 $ kaybetmesiyle DeFi dünyası sarsıldı.
Peki bu olayın arka planında ne oldu nasıl gerçekleşti ?
Hikayede para kaybeden platform olan Fulcrum (bZx) merkeziyetsiz bir margin trading platformu lending hizmeti vermekle beraber 5 kaldıraca kadar da long ya da short açmanıza olanak tanıyor.
Bu platformu ilk olarak kötüye kullanan arkadaş ki bu kişiye konuyu anlatırken “Mahmut” diyelim. DyDx‘ten (başka bir DeFi ürünü Fulcrum’la nerdeyse aynı) yukarıda anlattığımız Flash Loan’lardan kullanıyor. Mahmut’un aldığı para ise 10.000 #ETH anlık değeri ise 300.000 $’ a tekabül ediyor. Mahmut bu paranın yarısını bZx’e yarısını da onun en büyük rakibi Compound’a (bu da DeFi’in en büyük app’lerinden birisi elinizdeki kriptopara yatırımlarınızı faize verip kiralamanıza yarıyor) gönderiyor. Compound’a yolladığı yarısıyla 112 WBTC (Ethereum blokzinciri üzerindeki ERC20 formundaki BTC) kiralıyor. Fulcrum’a yolladığı yarısıyla ise WBTC’ ye yani Bitcoin’e short işlem açıyor. Compound’a yolladığı 112 WBTC’yi de en büyük ve hacimli DEX konumunda olan yine DeFi’in ağır toplarından Uniswap’e yolluyor ve orada dumplayıp fiyatı düşürüyor. Fiyatı Uniswap’ten alan (oracle olarak uniswap’i kullanan) Fulcrum’da short işlemden muazzam kar ediyor ve en başta aldığı 10.000 Ethereum’u ödüyor. Yukarıda bizim yazarken sizin okurken yorulduğunuz işlemlerin hepsini tek bir blokta yapıyor yani 15 saniye içinde… İşlemlerin özeti de aşağıda.
15 Saniyede 360.000 $
Tüm bu işlemlerin toplam transfer ücreti de 8.71 $tutmuş ve yazımızın asıl konusu olan Flash Loan olmasaydı bu olay mümkün olmayacaktı. Ayrıca önemli bir indikatör olduğunu devamlı vurguladığımız lending oranları da Mahmut’un 10.000 Ethereum’u kiralamasından etkilenmiş olacak ki Fulcrum vakasından sonra rakamlar tavan yaptı. Kısaca Mahmut ismini taktığımız dahi “hacker” (hack demek çok doğru olmasa da) 15 saniye içinde (1 Ethereum Bloğu) 360.000 $ kazandı.
