Bu içeriğimizde kripto para piyasasında kavram olarak zaman zaman karşımıza çıkan, yatırımcıları zor durumda bırakan kripto para piyasasındaki saldırıları örnekleriyle beraber inceleyeceğiz. Blok zincirine siber saldırı amacıyla yapılan %51 saldırısı, DeFi’lerde gerçekleşen bir diğer siber saldırı türü olan flash loan saldırısı ve yine aynı şekilde DeFi’lerdeki likidite havuzlarının boşaltılmasıyla sonuçlanan rug pull kavramlarını sizlere örnekleriyle beraber açıklayacağız.
%51 Saldırısı Nedir?
Kripto para piyasasındaki saldırılar arasında sıklıkla karşımıza çıkan %51 saldırısı, blok zincirinde bir kişinin ya da bir grubun hash oranının çoğunluğunu kontrol altına alması anlamına gelmektedir. Bu saldırıyla beraber hash kontrolü saldırganın ya da saldırganların eline geçerken, aynı zamanda da blok zincirinde bozulmalara sebep olabilmektedir. Daha da basit bir anlatımla, %51 saldırganı, dilediği gibi blok zincirindeki işlemlerin sıralamasını değiştirmek ya da blok zincirindeki bu işlemleri iptal etmek için gerekli olan madencilik gücüne ve yeteneğine sahiptir.
%51 saldırısı blok zinciri üzerindeki işlemlerin iptal edilmesiyle ya da çoğunlukla çift harcama işleminin gerçekleşmesiyle sonuçlanmaktadır. Başarıyla sonuçlanan bu saldırılar sonrasında saldırganlar blok zinciri üzerindeki tüm işlemleri ya da madencilik işlemlerini engelleyebilir.
Proof of Work ile birlikte, blok zincirindeki bir madenci ne kadar yüksek hash oranına sahipse, bir sonraki blok için geçerli çözüm bulma olasılığı da o kadar yüksektir. Mayıs 2020 tarihinden sonra belirlenen Bitcoin ağındaki ödül blok başına 6.25 BTC’dir. Bu sebeple, rekabetçi bir BTC madencilik ortamında %51 saldırısı çok yüksek bir ihtimalle gerçekleşmeyecektir. Bitcoin blok zincirinde yer alan madenci sayılarının artması sebebiyle hash oranının çoğunluğunun kontrolünün alınması neredeyse imkansızdır.
Saldırganın ya da saldırganların Bitcoin ağından daha fazla hash gücüne sahip olması neredeyse imkansız olsa da “altcoin”lerin blok zinciri için aynı şeyi söylemek maalesef zor olacaktır. Bitcoin’e kıyasla daha düşük hash gücüne sahip olan “altcoin”lerin blok zincirleri %51 saldırısı için saldırganlara uygun ortam yaratabilmektedir.
Bitcoin Gold (BTG) %51 Saldırısı
Bitcoin “fork”u olan Bitcoin Gold (BTG), Mayıs 2018 yılında %51 saldırısına uğramıştı. Bu saldırı sırasında saldırgan blok zinciri defterini manipüle edip, çifte harcamalar gerçekleştirdi. Saldırganın çifte harcamaları nedeniyle BTG’nin listeli olduğu birkaç borsa 388.000 BTG (saldırı anında yaklaşık $18 milyon) kaybetti. Saldırı sonrasında da Bittrex, BTG’yi borsasında delist etmişti.
BTG, aynı şekilde Ocak 2020 yılında da %51 saldırısına uğradı. 23 Ocak 2020 tarihinde blok zinciri üzerinde 15 bloğun kaldırılıp 16 bloğun eklenmesiyle $53 bin, 24 Ocak 2020 tarihinde de 14 bloğun kaldırılıp 13 bloğun eklenmesiyle de $19 bin ve toplamda $72 bin değerindeki BTG, %51 saldırısı sonucu çifte harcanmıştı. Mayıs 2018’deki %51 saldırısı anında piyasa değeri sıralamasında 27. sırada yer alan BTG, şu anda CoinMarketCap verilerine göre 84. sırada yer alıyor.
Bir diğer BTC “fork”u olan BSV de Ağustos 2021 yılında %51 saldırısına uğramıştı. BSV’ye yapılan %51 saldırısının detaylarını içeren yazımıza buradan ulaşabilirsiniz.
Flash Loan Saldırısı Nedir?
Flash loan, kripto para sektöründe yer alan yatırımcılar arasında teminatsız kredi olarak adlandırılır. Yatırımcıların, flash “loan”dan faydalanması için bir teminat göstermesi zorunlu değildir. Ancak, alınan kredi aynı işlemde geri ödenmelidir. Blok zinciri teknolojisi sayesinde kripto para sektöründe hayatımıza giren flash loan, yatırımcılara başka yatırımcılar tarafından fonların kredi olarak verilmesidir. Fonları kredi olarak alan yatırımcı bu fonlarla işlem gerçekleştirir ve sonrasında kredi olarak aldığı fonları ilk sahibine iade eder. Alınan fonlar iade edilmezse, yatırımcının aldığı fonlarla yaptığı işlemler gerçekleşmez ve fonlar tekrardan ilk sahibine iade edilir. Temel olarak, fonlar aslında her zaman borç veren kişide kalmaktadır.
Flash loan saldırısı ise farklı merkeziyetsiz borsaların ya da platformların aynı anda kullanılarak manipüle edilmesi sonucu gerçekleşen bir siber saldırı yöntemidir. Saldırıyı gerçekleştiren kişi ya da gruplar bir platformdan aldıkları flaş loan ile başka bir platformda işlem gerçekleştirerek platformlardaki dengeyi bozarlar. Bu saldırı biçimi DeFi platformlarında en yaygın gerçekleşen siber saldırı yöntemidir.
Fulcrum (bZx) Flash Loan Saldırısı
Şubat 2020 yılında DyDx adlı platformdan 10.000 ETH ile (saldırı anında yaklaşık değeri $3 milyon) flash loan kullanan saldırgan, aldığı kredinin yarısını Compound’a ve diğer yarısını da bZx’e göndermişti. Compound’a yolladığı parayla 112 WBTC loan eden saldırgan, bZx’e yolladığı parayla da 112 WBTC’ye short pozisyon açtı. Sonrasında da Compound’ta loan ettiği 112 WBTC’yi Uniswap’a gönderen saldırgan, WBTC fiyatını Uniswap’ta “dump”ladı. Token fiyatları olarak Uniswap’ı baz alan bZx’te de WBTC fiyatı aynı şekilde “dump”landı. bZx’te short pozisyonu olan saldırgan saniyeler içerisinde $360 bin kâr etti. Flash loan olarak aldığı 10.000 ETH’yi iade eden saldırgan, flash loan saldırısını başarılı bir şekilde 15 saniye içerisinde tamamlayarak DeFi’nin zayıf noktasını bize göstermiş oldu.
BSC üzerinde merkeziyetsiz borsa olan BurgerSwap da Mayıs 2021 tarihinde flash loan saldırısına maruz kalmıştı. $7.2 milyon değerinde fon çalınmasına neden olan bu flash loan saldırısının detaylarına buradan ulaşabilirsiniz.
Rug Pull Nedir?
Kripto para piyasasındaki saldırılar arasında yatırımcıları en çok mağdur eden Rug pull saldırısı, kripto para geliştiricilerinin bir projeyi yarıda bırakması ve yatırımcıların fonlarıyla kaçması olarak tanımlanan kripto para sektöründe kötü amaçlı bir davranıştır. DeFi ekosisteminde karşımıza çıkan rug pull ile birlikte proje geliştiricileri, projeyi terk eder ve bütün fonları çekerek likidite havuzunu sıfıra indirir. Yeterli sayıda yatırımcıya ve likiditeye ulaşıldıktan sonra proje geliştiricileri likidite havuzundan tüm varlıkları çeker ve “token”ının değeri sıfıra iner. Token havuzu boşaldığı için de token sahipleri ellerindeki “token”ı satamaz hale gelir. Rug pull işleminin merkeziyetsiz borsalarda gerçekleşmesinin sebebi ise merkeziyetsiz borsaların denetimsizliği ve bağımsızlığı olarak gösterilebilir. Bu durumdan kaçınmak isteyen kullanıcıların, yatırım yapacakları likidite havuzlarını ve kilitli token miktarını dikkate alması önerilir.
WhaleFarm Rug Pull
Arkasında anonim bir ekip olan WhaleFarm, Haziran 2021 yılında yatırımcılarından $2 milyonun üzerinde para çaldı. Platform, kullanıcılarına BNB, BUSD, USDT, BTC, ETH, ADA, DOT, ve LINK dahil olmak üzere %7 milyona kadar APY fırsatı sunmasıyla kısa sürede dikkat çekti ve bunun karşılığı hem platform hem de token olarak aldı. Platformda işlem yapan kullanıcısı sayısının artmasıyla birlikte platformun yerel “token”ı olan WHALEFARM kısa süre içerisinde yaklaşık $215 seviyelerini gördü. Ancak, anonim ekibin rug pull gerçekleştirmesi sonucunda token fiyatı dakikalar içinde 0 seviyelerine indi ve yatırımcılar dolandırıldı. Bu içeriğimizi yazarken, CoinGecko verilerine göre WHALEFARM’ın anlık fiyatı ise $0,00014. Rug pull sonrasında ise platformun resmi Twitter hesabı ve Telegram kanalı kapatıldı.
BSC ağında geliştirilen IceCream “token”ı da Şubat 2020 yılında proje geliştiricileri tarafından rug pull edilmişti. IceCream “token”ı “rug pull”u detaylarını içeren yazımıza buradan ulaşabilirsiniz.
Daha fazla Blockchain Haberleri için: Blockchain Haberleri
Daha Fazla DeFi Haberleri için: DeFi Haberleri