Geçen iki ayın en büyük iki DeFi sızıntısı, XRP Ledger'da bulunmayan bir araç kullandı.
Thorchain, 15 Mayıs'ta Bitcoin, Ethereum, BSC ve Base üzerindeki bir çapraz zincir saldırısı sonucu yaklaşık 10,8 milyon dolar kaybetti. Solana tabanlı merkeziyetsiz kalıcı borsa Drift Protocol ve Ethereum üzerindeki sıvı yeniden yatırma protokolü KelpDAO, yalnızca Nisan ayı boyunca toplam 600 milyon doların üzerinde kayıp yarattı.
Chainalysis'e göre, 2021'den beri çok zincirli köprüler, saldırılar nedeniyle 2,8 milyar doların üzerinde kayıp yaşadı. Bu istismarların önemli bir kısmı, aynı mekanik çeşidini kullandı: flaş krediler.
Bir flaş kredi, bir trader'ın teminat olmadan milyonlarca dolar ödünç almasına izin veren bir akıllı sözleşme özelliğidir ve kredinin aynı işlem içinde geri ödenmesi koşuluyla sağlanır. Meşru kullanım senaryoları arasında borsalar arasında arbitraj, pozisyonları kapatmadan teminat değişimi ve kredi piyasalarında solvabiliteyi koruyan likidasyon botları yer alır.
Saldırı deseni, yanlış yöne doğru gösterilen aynı mekanik.
Bir ödünç alan, krediyi alır, fonları bir orakı manipüle etmek veya kötü tasarlanmış bir havuzu boşaltmak için kullanır, manipülasyondan kar elde eder ve işlem çözümlenmeden önce krediyi geri öder. Eğer herhangi bir adım başarısız olursa, tüm süreç geri alınır, böylece saldırganın sadece gaz ücreti riski vardır.
XRP Ledger, bu çalışmayı izin vermez. Bu hafta başlarında XRPL standartları deposuna sunulan, zincirin yerel otomatik pazar yapıcısı için yoğun likidite ve StableSwap tarzı havuzlar öne süren bir taslak değişiklik, Güvenlik Önlemleri bölümüne şu tek satırı ekledi: "Flaş kredi saldırıları yapısal olarak imkânsızdır. XRPL işlemlerinin iç işlem çağrıları olmadan atomik olması sağlanır."
Bu, XRPL işlemlerinin bir Ethereum işlemi gibi tamamen başarılı veya tamamen başarısız olduğunu anlamına gelir. Ancak Ethereum'a farklı olarak, bir XRPL işlemi yürütmesi sırasında başka bir sözleşme çağıramaz. Bir flash kredi saldırısını tanımlayan ödünç-alım-manipülasyon-geri ödeme dizisi, tek bir işlem zarfı içinde en az üç iç içe işlem gerektirir.
Bu anlamlı bir mimari seçimdir ve bir maliyeti vardır. Flash krediler sadece bir saldırı aracısı değildir. Aave, dYdX ve diğer büyük protokoller tarafından bir ürün olarak sunulan bu krediler, ethereum DeFi'nin yapısal bir bileşeni haline gelmiştir. Arbitraj trader'ları, fiyat farklarını tek bir atomik işlemde borsalar arasında gidermek için flash krediler kullanır.
Likidasyon botları, aşırı teminatlı kredi pozisyonlarını solvencyde tutmak için bunları kullanır. Gelişmiş DeFi kullanıcıları, aksi takdirde saatlerce bağlanan sermaye gerektiren teminat takasları için bunları kullanır. XRPL, tüm bunları tamamen saldırı sınıfını kapatmak için feda eder.
XRPL'nin tarihinin büyük bir kısmında, bu uzlaşımın önemi yoktu çünkü zincirin DeFi izi küçüktü. Bu durum değişiyor. XRP Ledger'daki tokenleştirilmiş gerçek dünya varlıkları, geçen ay Ripple-JPMorgan-Mastercard-Ondo Finance pilotunun beş saniyeden kısa sürede tokenleştirilmiş bir ABD hazine bonosu ödemesini işlemesiyle birlikte toplam değer olarak 3 milyar doları aştı.
Taslak AMM değişikliği, kabul edilirse, XRPL DeFi'nin Ethereum'dan geride kalmasına neden olan sermaye verimliliği boşluğunu kapatır ve zincire daha geniş bir işlem ve getiri stratejisi yelpazesi açar.
AMM değişikliği kabul edilirse ve XRPL'nin DeFi likiditesi kurumsal sermayenin ölçeklenebilir şekilde yönlendirebileceği bir seviyeye ulaşır ise, soru yapısal istismara karşı dirençliğin gerçek bir rekabet avantajı olup olmadığı ya da kurumların likiditenin zaten bulunduğu yere odaklanarak görmezden geldiği bir özellik olup olmadığı hâline gelir.