Bir DeFi piyasa yapıcısı olan TrustedVolumes, bir saldırganın Ethereum üzerindeki özel takas altyapısındaki bir güvenlik açığından yararlanmasının ardından yaklaşık 6,7 milyon dolar değerinde dijital varlık kaybetti. 1inch Fusion protokolü için bir çözümleyici (resolver) olarak faaliyet gösteren firma, ihlali doğruladı ve çalınan fonların üç ayrı Ethereum cüzdanında tutulduğunu belirtti.
Kripto güvenlik firması Cyvers'ın kıdemli güvenlik operasyonları lideri Hakan Unal, Decrypt'e yaptığı açıklamada, "Temel neden; izinsiz imza sahibi kaydı, bozuk yeniden oynatma koruması ve doğrulanmamış bir transfer kaynağı alanının birleşimiydi" dedi. Güvenlik firması Blockaid yetkisiz etkinliği ilk fark eden taraf olurken, CertiK daha sonra saldırganın güvenilir bir imza sahibi olarak kaydolmasına ve fonları çekmesine olanak tanıyan özel saldırı vektörünü belirledi.
Blockaid verilerine göre çalınan varlıklar arasında yaklaşık 1.291 Wrapped Ether (WETH), 1,26 milyon USDC, 206.282 USDT ve 16,93 Wrapped Bitcoin (WBTC) bulunuyor. TrustedVolumes toplam kaybı doğruladı ve fonları içeren, sırasıyla kabaca 3 milyon dolar, 3 milyon dolar ve 700.000 dolar barındıran üç cüzdan adresini yayınladı. Firma X üzerinden yaptığı açıklamada, "hata ödülü (bug bounty) ve karşılıklı olarak kabul edilebilir bir çözüm konusunda yapıcı iletişime açık" olduğunu belirtti.
Merkeziyetsiz finans agregatörü 1inch, olayla arasına mesafe koyarak ana protokolünün ve kullanıcı fonlarının tehlikeye girmediğini vurguladı. TrustedVolumes kendi bağımsız sözleşmelerini yürütmektedir ve 1inch için birçok likidite kaynağından biri olarak hizmet etse de, açık kendi sistemleriyle sınırlı kalmıştır. Platform X'te paylaştığı mesajda, "Ne 1inch'in ne de herhangi bir 1inch protokolünün olaya dahil olmadığını teyit edebiliriz" dedi ve bazı raporların kurgusunun "nihayetinde kafa karıştırıcı ve zararlı" olduğunu ekledi.
Saldırı Vektörü ve Etkileri
Güvenlik açığı, saldırganın halka açık bir işlevi çağırarak yetkili izinler almasına olanak tanıdı; güvenlik uzmanları bu hatanın daha da büyük kayıplara yol açabileceğini söylüyor. Cyvers'tan Unal, "Yeniden oynatma koruması çalışmadığı için saldırgan onaylanmış ek hesapları defalarca boşaltabilirdi" dedi. Olay, karmaşık akıllı sözleşme etkileşimlerine dayanan DeFi protokollerinin karşı karşıya olduğu kalıcı güvenlik zorluklarını vurguluyor.
Blockchain analitik firmalarının, saldırganı Mart 2025'te 1inch Fusion'ı içeren önceki bir olayla ilişkilendirdiği bildiriliyor; bu da DeFi ekosistemindeki zayıflıkları hedef alan ısrarcı bir aktöre işaret ediyor. 1inch ise saldırıyı analiz etmek ve bulguları devam eden güvenlik ve entegrasyon süreçlerine dahil etmek için güvenlik ortaklarıyla birlikte çalıştığını belirtti.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
