Flaş kredi saldırıları, kötü niyetli aktörlerin akıllı sözleşmeleri istismar etmesi sonucunda meydana gelir.
Flaş kredi saldırıları, işlemlerin gerçekleşmesini sağlayan
akıllı sözleşmeninhavuzda depolanan varlıkları çekmek için istismar edildiği
merkeziyetsiz finans (DeFi) dolandırıcılığıdır. Bu tür saldırılarda kötü niyetli kişi kredi alır ve ödünç aldığı sermayeyi arbitraj ile başka varlıklar satın almak için kullanır. İşlemin ardından borcunu hızla geri öder ve tüm süreç boyunca elinde kalan varlıkları kâr olarak yanına koyar.
İzne gerek duymadan çalıştıklarından ve tamamen akıllı sözleşmeler aracılığıyla yürütüldüklerinden bu saldırılar yalnızca DeFi protokollerinde gerçekleşebilir. Aracı olmadan çalışma, maliyet tasarrufu ve sansüre direnç gibi pek çok fayda sağlayan DeFi platformları, teminatsız kredi almayı denetleyen üçüncü parti yapıların bulunmaması nedeniyle flaş kredi saldırılarına karşı savunmasız hale gelir.
Esasen bu tür kötü niyetli faaliyetler son derece karmaşıktır ve gerçekleştirilmesi zordur, ancak siber suçluların bir şekilde bu girişimleri başarıyla gerçekleştirdikleri senaryo bulunur.
Flaş kredi saldırılarının çoğu, farklı DeFi protokollerindeki varlıklarla arbitraj yapmak için ödünç alınan sermayenin kullanılması mantığına dayanır. Örneğin,
bZx protocol saldırılarından birinde siber saldırgan, akıllı sözleşmeden borç aldı ve bunu hemen stablecoin'e dönüştürdü. Akıllı sözleşmeler yalnızca kendilerine aktarılan verilere dayalı biçimde çalıştığından, koddaki açıklardan yararlanılmasına karşı savunmasız kalabilir. Örneğimizdeki saldırgan, stablecoin fiyatının normaldeki değerinin iki katına çıkmasını sağlayacak kadar büyük satın alma emri vererek stablecoin sUSD'nin fiyatını manipüle etti. Teminat olarak takas ettiği sUSD'yi kullanarak daha büyük kredi aldı. Daha sonra tüm kredileri geri ödedi ve artan varlıklar yanına kâr kaldı.
Aynı platformda daha önce de flaş kredi saldırısı gerçekleşmişti. Flaş kredi saldırganı, merkeziyetsiz kredi uygulaması dYdx üzerinden ödünç para aldı ve bu flaş krediyi hem Compound hem de Fulcrum'a gönderdi. Saldırgan, Fulcrum üzerinde Wrapped Bitcoin'e (WBTC) karşı kısa ETH pozisyonu alırken Compound üzerinden de WBTC çekti. Fazla ayrıntıya girmeden anlatmak gerekirse, Fulcrum'un WBTC satın alması etkisiyle WTBC'nin fiyatı yükseldi. Flaş kredi saldırganı WBTC'lerini Uniswap üzerinde takas edip borcunu ödedi ve kalan ETH ile kayıplara karıştı.
BNB Chain tabanlı popüler yield farming veri toplayıcısı PancakeBunny, Mayıs 2021'de flaş kredi saldırısına uğradı. Flaş kredi saldırganı, PancakeBunny üzerinden büyük miktarda BNB ödünç aldı ve fiyatı hem Binance USD stablecoin'e hem de
Bunny tokenlerine karşı manipüle etti. Dolandırıcı, Bunny tokenlerini piyasaya sürünce fiyat düştü.