Kripto dünyasında bir saldırı denince çoğu kişinin aklına şifre çalınması cüzdan hacklenmesi veya bir anda boşalan havuzlar gelir.
Phantom Liquidity Exploit ise bunların hiçbirine benzemez.
Ortada ne bir hack vardır ne de kırılmış bir sistem.
Her şey düzgün çalışıyor gibi görünür ama zamanla para eksilmeye başlar.
Bu yüzden bu saldırı türü en tehlikelilerden biridir.
Sistemde Oluşan Senaryo
“Kasada şu kadar para var.”
Ama gerçekte:
“O paranın bir kısmı henüz gelmemiş, kilitli ya da geçicidir.”
Sistem bu parayı gerçek sanarak işlem yapar.
Bu Nasıl Oluyor ?
Bazı kripto sistemleri:
Başka ağlardan gelen paraları kabul eder
“Wrapped” denilen paketlenmiş coin’ler kullanır
Fiyatları anlık değil,belli aralıklarla günceller
İşte sorun burada başlar.
Sisteme gelen bazı paralar:
Henüz tamamen aktarılmamıştır
Kısa süreliğine görünür
Ama hemen çekilemez
Buna rağmen sistem bu parayı hesaba katar.
Phantom Liquidity Exploit’in Yazılımsal Tarafı
Phantom Liquidity Exploit bir kripto veya DeFi sisteminin gerçekte sahip olmadığı parayı var sanması sonucu ortaya çıkan sessiz bir hack türüdür.
Bu saldırıda kod kırılmaz,sistem hacklenmez.
Sorun tamamen yazılımın yanlış varsayımlarına dayanır.
Sistem;bridge’den yeni gelen,henüz kesinleşmemiş,kilitli ya da geçici olarak görünen paraları gerçek likidite gibi kabul eder.
Buna göre faiz, ödül veya oran hesaplar.
Kişi ise bu durumu fark eder ve küçük,normal görünen işlemlerle sistemin verdiği fazla avantajı toplar.
Büyük bir para çekimi olmadığı için bu durum uzun süre fark edilmez.
Yazılımsal olarak hata yoktur;sadece sistem yanlış zamanda yanlış veriye güvenir.
Oracle gecikmeleri, geçici bakiyeler ve hesaplama–transfer arasındaki küçük farklar bu durumu mümkün kılar.
Bu yüzden Phantom Liquidity Exploit,klasik bir kod hack’i değil; ekonomik ve mantıksal bir sömürüdür.
En tehlikeli yönü de budur.
Her şey çalışıyor gibi görünürken sistem yavaş yavaş zarar eder.
Bu saldırıda kod kırılmaz,sistem hacklenmez.
Sorun tamamen yazılımın yanlış varsayımlarına dayanır.
Sistem;bridge’den yeni gelen,henüz kesinleşmemiş,kilitli ya da geçici olarak görünen paraları gerçek likidite gibi kabul eder.
Buna göre faiz, ödül veya oran hesaplar.
Kişi ise bu durumu fark eder ve küçük,normal görünen işlemlerle sistemin verdiği fazla avantajı toplar.
Büyük bir para çekimi olmadığı için bu durum uzun süre fark edilmez.
Yazılımsal olarak hata yoktur;sadece sistem yanlış zamanda yanlış veriye güvenir.
Oracle gecikmeleri, geçici bakiyeler ve hesaplama–transfer arasındaki küçük farklar bu durumu mümkün kılar.
Bu yüzden Phantom Liquidity Exploit,klasik bir kod hack’i değil; ekonomik ve mantıksal bir sömürüdür.
En tehlikeli yönü de budur.
Her şey çalışıyor gibi görünürken sistem yavaş yavaş zarar eder.
