Binance Smart Chain üzerinde yeni bir açık, DeFi platformlarının fiyatlandırma ve staking ödüllerini nasıl yönettiği konusunda LML protokolünü yeniden gündeme getirdi.
Summary
Saldırgan, BSC üzerindeki LML/USDT havuzundan 950.000 $ çekti
Binance Smart Chain üzerinde bir staking protokolü, LML/USDT likidite havuzunu hedef alan büyük bir saldırıya uğradı ve yaklaşık $950,000 kayba yol açtı. Güvenlik firması BlockSec, ağdaki şüpheli faaliyetleri işaretleyen Phalcon izleme sistemi aracılığıyla olayı tespit etti.
Ayrıca, firma sistemlerinin yaklaşık 950 bin $ kayıp tahmini doğrulanmadan saatler önce bir uyarı verdiğini açıkladı. Ancak, mağdur sözleşme açık kaynaklı değil, bu da kamuya açık kod düzeyinde analizi sınırlıyor ve araştırmacıları işlem izleri ve zincir üzerindeki davranışlara güvenmeye bırakıyor.
BlockSec, incelemesinin muhtemel bir fiyatlandırma tasarım hatasına işaret ettiğini belirtti. Başka bir deyişle, bu açık klasik bir yeniden giriş hatasından kaynaklanmıyor gibi görünüyordu, aksine protokolün staking ödüllerini dağıtırken token fiyatlarını nasıl hesapladığı ve uyguladığıyla ilgiliydi.
Fiyat Manipülasyon Planı Nasıl Ortaya Çıktı
Saldırgan, yapılandırılmış bir plan uyguladı. İlk olarak, istismarcı, token’ın kote fiyatını yükseltmek için LML likidite havuzunda büyük takaslar kullandı. Bu işlemler, gerçek piyasa talebini veya uzun vadeli değeri yansıtmadan, havuz fiyatında keskin ve geçici bir artış yarattı.
Sonrasında, saldırgan, LML ile bağlantılı BSC staking sözleşmesine zaten fon yatırmış olan birkaç önceden finanse edilmiş cüzdana yöneldi. Bu adreslerin hepsi saldırganın kontrolü altındaydı. Ancak, protokolün bakış açısından, normal staking faaliyetlerine katılan bağımsız kullanıcılar gibi görünüyorlardı.
Yapay olarak yükseltilmiş fiyat devam ederken, bu cüzdanlar sözleşmeden staking ödüllerini talep etti. Ödül mekanizması şişirilmiş fiyata referans verdiği için, ödemeler normalde mevduatların kazanacağından çok daha fazla arttı. Sonunda, saldırgan elde edilen tokenleri daha yüksek fiyatlardan satarak kâr döngüsünü tamamladı ve manipüle edilmiş koşulları nakde çevirdi.
LML ödül modelindeki temel tasarım hatası
Merkezi zayıflık, BSC tabanlı staking sisteminin ödülleri nasıl hesapladığından kaynaklanıyordu. Ödül dağıtımı için bir fiyat referansına dayanırken, gerçek alım satım için başka bir referans kullanıyordu. Daha spesifik olarak, ödüllerin gerçek zamanlı güncellenmeyen bir anlık görüntü veya dahili ortalama fiyata dayandığı görülüyor.
Bununla birlikte, saldırgan, likidite havuzunda canlı piyasa fiyatını kullanarak LML tokenlerini elden çıkardı. Bu durum, ödüller için kullanılan eski fiyat ile takaslar için kullanılan güncel fiyat arasında bir uyumsuzluk yarattı. Sömürücüler, bu nedenle canlı havuz fiyatını şişirebilir ve hala önceki, uyumsuz hesaplamalara bağlı ödülleri talep edebilir, böylece fiyat farkını doğrudan kâra dönüştürebilirler.
Bu yapısal sorun, staking mantığının her iki fiyat görünümünün de aynı anda istismar edilmesine olanak tanıdığı anlamına geliyordu. lml protokolü, bileşenleri arasında sağlam, manipülasyona dirençli fiyat verileriyle ödül hesaplamasını sıkı bir şekilde birleştirmediği için savunmasız hale geldi.
Uzman önerileri ve oracle’ların rolü
Olayı inceleyen güvenlik uzmanları, daha güçlü fiyatlandırma altyapısının saldırıyı engelleyebileceğini veya sınırlayabileceğini savunuyor. Özellikle, birçok uzman, kısa süreli fiyat dalgalanmalarını yumuşatan zaman ağırlıklı ortalama fiyat (TWAP) beslemelerinin veya dayanıklı oracle sistemlerinin önemine dikkat çekiyor.
Ayrıca, TWAP oracle’larının kullanılması, saldırganların tek bir likidite havuzunda kısa süreli manipülasyonlardan kâr elde etmelerini önemli ölçüde zorlaştırabilir. Fiyatları belirli bir zaman diliminde ortalayarak, TWAP tabanlı ödüller, özellikle mantık kontrolleri veya oran sınırlamaları ile birleştirildiğinde, bir veya birkaç işlemle tetiklenen ani dalgalanmalara karşı daha az duyarlı hale gelir.
Uzmanlar, büyük ödül talepleri işleme alınmadan önce daha sıkı doğrulama kurallarının uygulanmasını da önermektedir. Bununla birlikte, bu kontrollerin güvenliği kullanıcı deneyimiyle dengelemesi, gerçek kullanıcıların meşru staking gelirlerini toplarken aşırı zorluklarla karşılaşmamasını sağlaması gerekmektedir.
DeFi Neden Tekrarlayan Fiyat Saldırılarına Maruz Kalıyor?
Fiyat manipülasyonu, merkeziyetsiz finans alanında sıkça karşılaşılan bir temadır, özellikle de protokoller yerel likidite havuzu kotalarına büyük ölçüde bağımlı olduğunda. Birçok tasarım, bu zincir üzerindeki fiyatları otoriter olarak kabul etmeye devam ediyor, ancak bunlar büyük işlemler veya tek bir blok içinde kullanılan flash krediler aracılığıyla çarpıtılabilir.
Sonuç olarak, saldırganlar benzer stratejileri birden fazla proje üzerinde yeniden kullanabilirler. Kredi verme, tasfiyeler veya ödül hesaplamaları gibi hassas işlemlerin kolayca manipüle edilebilen fiyat beslemelerine dayandığı protokolleri belirlerler. Ancak, DeFi’deki yenilik hızı, güçlendirilmiş güvenlik mimarileri ve sağlam test senaryolarının uygulanmasını sıklıkla geride bırakır.
Son aylarda, farklı zincirler ve varlıklar üzerinde birkaç benzer istismar rapor edilmiştir. Bu durum, sistemik bir zorluğu vurgulamaktadır: Sermaye ve kullanıcılar yeni protokollere akarken, birçok ekip hala güvenli zincir üstü fiyatlandırma ve teşvik tasarımının karmaşıklığını hafife almaktadır.
Binance Smart Chain üzerindeki kullanıcılar ve geliştiriciler için etkileri
Kullanıcılar için bu açık, yüksek staking getirilerinin derin yapısal riskleri gizleyebileceğine dair net bir hatırlatmadır. Tokenları bir sözleşmeye kilitlemeden önce, temel ödül mantığının tek bir havuzda yerel olarak manipüle edilebilecek fiyatlara bağlı olup olmadığını anlamak esastır.
Geliştiriciler ve protokol tasarımcıları daha keskin bir dersle karşı karşıya. Güçlü fiyatlandırma mekanizmaları artık isteğe bağlı eklemeler değil; onlar temel altyapıdır. BSC ve diğer zincirlerdeki projeler, fiyat bağlantılı ödül mekanizmalarına özel olarak odaklanan dayanıklı oracle’lar, simülasyon tabanlı testler ve kod denetimlerine yatırım yapmalıdır.
Ayrıca, ekipler sistemlerini aşırı dalgalanma, likit olmayan piyasalar ve bu saldırıda görüldüğü gibi koordine edilmiş çoklu cüzdan aktiviteleri gibi düşmanca koşullar altında test etmelidir. Anormal fiyat hareketleri sırasında ödül çıkışlarına devre kesiciler veya sınırlar entegre etmek, potansiyel zararı daha da azaltabilir.
DeFi ekosistemi için daha geniş çıkarımlar
Bu son LML ile ilgili açık, sadece bir staking havuzu veya tek bir token ile ilgili değil. DeFi alanında daha akıllı, derinlemesine savunma güvenlik stratejilerine olan daha geniş bir ihtiyacı vurguluyor. Protokoller ölçeklendikçe ve birbirine bağlandıkça, fiyatlandırma hatalarının dalgalanma etkileri hızla yayılabilir.
Özetle, BSC olayı, ödül hesaplaması ve fiyat kaynaklarındaki tasarım eksikliklerinin nasıl bir fiyat manipülasyonu saldırısına dönüştürülebileceğini gösteriyor. Projeler sağlam oracle tasarımları, daha iyi testler ve daha sıkı güvenlik önlemleri benimserse, sektör bu tür olayların sıklığını ve etkisini azaltabilirken yeniliği koruyabilir.
