Hedera ağı üzerinde çalışan bir lending protokolü olan Bonzo Finance, üçüncü taraf bir oracle sözleşmesindeki doğrulama açığının kötüye kullanılması sonucu toplam kilitli değerinde (TVL) %77 oranında sert bir düşüş yaşadı. Saldırgan, yaklaşık 9,05 milyon dolarlık varlığı protokolden çekmeyi başardı. CoinDesk tarafından aktarılan bu olay, merkeziyetsiz finans (DeFi) uygulamalarının yeterli güvenlik önlemleri olmadan harici fiyat akışlarına bağımlı olmasının zincirleme risklerini gözler önüne seriyor.
Söz konusu güvenlik açığı, Bonzo’nun kendi akıllı sözleşmelerinde değil, Supra oracle entegrasyonunda ortaya çıktı. Bu ayrım önemli; zira protokoller genellikle kendi iç kodlarını kapsamlı şekilde denetlerken, entegre edilen her altyapı bileşeni saldırı yüzeyini genişletiyor. Oracle sözleşmesindeki tek bir hatalı doğrulama mekanizması, protokolün neredeyse tüm likiditesinin boşaltılmasına yol açtı. Saldırgan hızlı hareket etti ve sorun tespit edildiğinde zarar çoktan gerçekleşmişti.
Oracle Açığının Ortaya Çıkışı
Mevcut bilgilere göre saldırgan, oracle fiyat mantığını manipüle ederek şişirilmiş teminat değerleri üzerinden varlık borçlandı. Supra sözleşmesi gelen verileri doğru şekilde doğrulamadığı için, kötü niyetli aktör Bonzo’nun lending mantığının güvenle kabul ettiği sahte fiyatlar sunabildi. Bu güven, kredi-teminat oranı hesaplamalarının temelini oluşturuyordu. Güven mekanizması bozulunca, protokolün ödeme gücü de ortadan kalktı.
Oracle açıkları DeFi ekosisteminde yeni bir sorun değil. Yıllardır farklı zincirlerdeki protokoller bu tür saldırılardan etkilendi. Ancak bu olay, Bonzo’nun Hedera üzerindeki en büyük lending pazarlarından biri haline gelmesi nedeniyle Hedera için ayrı bir önem taşıyor. TVL’deki %77’lik düşüş, milyonlarca dolarlık likiditenin çekilmesi, açıkta kalan pozisyonlar ve ekosistemin olumsuz piyasa koşullarına karşı dayanıklılığına dair güven kaybı anlamına geliyor.
Hedera’nın DeFi Hedeflerinde Geri Adım
Hedera, yüksek işlem kapasitesi ve sabit düşük ücretleriyle DeFi alanında sessizce büyümeye çalışıyordu. Ancak ağ, Ethereum veya BNB Chain gibi büyük oyunculara kıyasla hâlâ küçük bir pazar payına sahip. Geliştirici aktivitesine göre önde gelen blok zincirleri arasında Ethereum, BNB Chain ve Polygon öne çıkarken, Hedera gibi ağlar hata payı açısından daha dar bir alanda faaliyet gösteriyor. Tek bir yüksek profilli saldırı, aylar süren kullanıcı kazanımını bir anda geri alabiliyor.
Hedera’nın DeFi ekosistemini temkinli şekilde test eden kurumsal kullanıcılar ve likidite sağlayıcıları için Bonzo olayı yeni bir risk primi oluşturdu. Ayrıca, ağdaki lending protokollerinin sınırlı sayıda oracle sağlayıcısına ne kadar bağımlı olduğu sorusunu da gündeme taşıdı. Supra’nın bu olaydaki rolü, izinli ve yarı izinli defterlerde oracle altyapısına yönelik ilgiyi artıracak gibi görünüyor.
Oracle Sorunu Devam Ediyor
Bonzo’da yaşananlar tek seferlik bir istisna değil. Oracle manipülasyonu, zincir dışı veri ile zincir üstü işlemler arasındaki boşluğu hedef aldığı için merkeziyetsiz finansın en önemli saldırı vektörlerinden biri olmaya devam ediyor. Birden fazla fiyat kaynağı, zaman ağırlıklı ortalama fiyatlar veya devre kesiciler gibi çözümler mevcut; ancak her biri ek karmaşıklık ve maliyet getiriyor. Daha küçük protokoller genellikle güvenlikten ödün vererek sadeliği tercih ediyor ve küçük zincirler sağlam alternatifler sunacak altyapıdan yoksun olabiliyor.
Bonzo kullanıcılarının kayıplarını telafi edip edemeyeceği belirsizliğini koruyor. Geçmişte bazı saldırılar, müzakereler veya beyaz şapkalı ödüller yoluyla kısmi fon iadesiyle sonuçlanmıştı; ancak şu an için kesinleşmiş bir yol haritası bulunmuyor. Protokol ekibinin, tazminat planının mümkün olup olmadığını ve oracle entegrasyonunun nasıl yeniden tasarlanacağını değerlendirmesi gerekecek. Hedera topluluğu için önümüzdeki haftalar, likiditenin geri dönüp dönmeyeceğini veya başka platformlara kayıp kaymayacağını gösterecek.
Daha geniş açıdan bakıldığında, DeFi yeni zincirlere yayıldıkça eski güvenlik açıkları da peşinden geliyor. Oracle güvenliği ilk günden itibaren öncelik haline getirilmedikçe, daha fazla protokolün likidite havuzlarını dakikalar içinde boşaltması kaçınılmaz görünüyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: cryptorank.io