Haberler 
Coin Bilgisi 
Hakkımızda 
IPOR Labs, Ethereum(ETH) tabanlı genişletme ağı Arbitrum üzerinde çalışan USDC tabanlı Fusion Optimizer kasasının hacklenmesi sebebiyle yaklaşık 336.000 dolar (yaklaşık 4,8 milyar Kore wonu) zarar ettiğini açıkladı. Saldırının, eski bir akıllı kontrat versiyonundaki açık ile Ethereum ağındaki yeni bir fonksiyonun bir araya getirilerek kötüye kullanılmasından kaynaklandığı belirlendi.
6 Ocak’ta (yerel saatle) blokzinciri güvenlik şirketleri Hexagate ve Blockaid tarafından şüpheli işlemler fark edildikten sonra olay ayrıntıları ortaya çıkarıldı. IPOR Labs, yaptığı iç soruşturma sonuçlarına göre kasanın ‘fuse’ (sigorta) adı verilen ayar modülünün kötü niyetli olarak manipüle edilmesiyle yasa dışı fon çıkışı yaşandığını açıkladı. Saldırganlar çaldıkları varlıkları Ethereum ana ağ üzerinden köprüyle aktararak karıştırıcı hizmeti sunan Tornado Cash'e gönderdiler. Güvenlik firması CertiK ise bu işlemleri izlediğini ve yaklaşık 330.000 dolar tutarındaki fonun karıştırılmış olduğunu raporladı.
Bu olay, eski protokol kodlarıyla Ethereum’un yakın zamanda hayata geçirdiği yeni EIP-7702 fonksiyonunun tehlikeli bir şekilde birleşmesiyle mümkün hale geldi. Söz konusu kasa, yaklaşık 490 gün önce dağıtılan ilk versiyondu ve kötü amaçlı fuse kontratlar yerleştirmeye karşı bir doğrulama mekanizması içermiyordu. Bu zayıflıktan faydalanan saldırganlar, yöneticilere özel ayar yetkisine erişerek kötü amaçlı fuse modülünü sisteme ekledi.
Bu açığı kritik hale getiren esas unsur ise Ethereum’un son dönemde hayata geçirdiği Pectra güncellemesiyle gelen EIP-7702 yetkilendirme fonksiyonuydu. Saldırgan, bu özelliği kullanarak yönetici hesaplarını taklit etti ve ‘arbitrary call’ (keyfi çağrı) özelliği taşıyan bir delegasyon kontratını devreye soktu. Böylece kasanın doğrudan para çekme fonksiyonuna erişerek fonları kendi cüzdanına transfer etti.
IPOR Labs, saldırının kasa tarafından anlık para çekme işlemi gerçekleştirilirken yapıldığını ve mevcut güvenlik izleme sistemlerinin durumu anında tespit edip engelleyemediğini dile getirdi.
Yeni dağıtılan kasalarda fuse doğrulama sistemi aktif olduğu için aynı yöntemle başka saldırı yapılmasının mümkün olmadığı vurgulandı. Saldırganın kullandığı EIP-7702 bazlı yetkilendirme mekanizması sadece iki ayrı kasada yer alıyordu ve bunlardan yalnızca biri eski sürüm güvenlik önlemleriyle çalışıyordu.
IPOR DAO, tüm zarar gören kullanıcılara yaklaşık 336.000 dolarlık tazminat ödeyeceğini ve bunun toplam Fusion platform fonlarının %1’inden azına denk geldiğini açıkladı. Şu anda IPOR, güvenlik firması SEAL ile iş birliği yaparak çalınan fonların izini sürüyor ve kripto borsalarla iletişime geçerek varlık kurtarma çabalarını sürdürüyor.
Bu olay, 2025 Aralık ayında kayıtlara geçen düşük hacimli saldırılar sonrasında, 2026 Ocak ile birlikte kripto alanında saldırıların yeniden artış gösterdiği bir döneme denk geliyor. Güvenlik firması PeckShield’in verilerine göre, Aralık ayında kripto hack'lerinden toplamda 76 milyon dolarlık kayıp yaşanmış, bu rakam önceki aya göre %60 düşüş göstermişti. Ancak 2026’nın ilk haftalarından itibaren tedarik zinciri saldırıları, çoklu imza cüzdan açıkları ve çapraz zincir cüzdan hedeflemeleri tekrar yoğunlaştı.
Öne çıkan örneklerden biri Trust Wallet’in yaşadığı Noel dönemi tedarik zinciri saldırısıydı. Zararlı bir npm paketi ile geliştirici cüzdan verilerine erişen saldırganlar, yaklaşık 2.500 cüzdandan toplam 7 milyon dolar değerinde Bitcoin(BTC), Ethereum(ETH) ve Solana(SOL) çaldı.
Uzmanlar, kod güvenliği alanında gelişmeler yaşansa da, insan hataları ve sistemlerin işletim aşamasındaki güvenlik zafiyetlerinin yeni saldırı vektörlerine dönüştüğüne dikkat çekiyor. Güvenlik platformu Immunefi’in kurucusu Mitchell Amador, “Kodların güvenliği artıyor olabilir ama esas tehdit artık işletme süreçleri ve kullanıcı davranışları” yorumunda bulundu.
Yorum: Bu olay, merkeziyetsiz finans platformlarının smart contract güncellemelerine dikkatli yaklaşması gerektiğini bir kez daha gösterdi. Özellikle EIP-7702 gibi yeni özellikler hızla entegre edilirken kapsamlı testlerden geçirilmemesi beklenmedik açıklar doğurabilir.Geçmişten gelen kod mirası ile yeni Ethereum standartlarının bir araya gelişi, saldırganlara alternatif kapılar açabilmekte.
Yorum: DeFi kullanıcıları açısından bakıldığında, kullanılan hizmetin akıllı kontrat geçmişi, yetkilendirme sistemi ve upgrade süreçleri mutlaka kontrol edilmelidir. Özellikle yeni özelliklerin entegre edildiği platformlarda ekstra dikkat gereklidir.
Yorum: Bu tür vakalarda çalınan fonlar sıkça Tornado Cash gibi gizlilik odaklı servislerde aklanıyor. Bu durum güvenlik firmalarını güç duruma sokarken, denetimler ve düzenleyici baskıların artacağı bir döneme işaret ediyor.
Yorum 0