Matcha Meta hacklendi: DeFi platformundan 16.8 milyon dolar çalındı

DeFi platformu Matcha Meta hacklendi: 16.8 milyon dolar çalındı

DeFi tabanlı kripto para borsası toplayıcısı olan Matcha Meta, 25’inde büyük bir güvenlik ihlaliyle karşı karşıya kaldı. Projenin açıkladığına göre, saldırganlar yaklaşık 16.8 milyon dolar (yaklaşık 244 milyar TL) değerinde kripto para çaldı. Bu güvenlik açığının, Matcha Meta’nın ana altyapısında değil; harici likidite sağlayıcısı SwapNet üzerinden gerçekleştiği bildirildi.

Saldırı, bazı Matcha Meta kullanıcılarının ‘tek seferlik onay’ (one-time approval) özelliğini devre dışı bırakarak doğrudan akıllı sözleşmelere token izinleri vermesiyle başladı. Platformun resmi X (eski adıyla Twitter) hesabında yapılan açıklamaya göre, bu kullanıcılar saldırıdan etkilenmiş olabilir. Olayın ardından, SwapNet ekibi ilgili akıllı sözleşmeleri geçici olarak durdurdu.

10 saniyede 16.8 milyon dolar çalındı

Blokzincir güvenlik firması PeckShield’a göre, saldırgan ilk olarak Base ağındaki 10.5 milyon dolar değerindeki USD Coin(USDC)'i yaklaşık 3.655 Ethereum(ETH)'a çevirdi. Daha sonra bu varlıkları Ethereum ana ağına ‘köprü’ (bridge) yöntemiyle aktardı. Güvenlik araştırmalarına göre toplamda 16.8 milyon dolar değerinde kripto varlık çalındı.

Bir diğer güvenlik firması olan CertiK, saldırıyla ilişkili cüzdan adreslerinden birinin yaklaşık 13.3 milyon dolar değerindeki USDC’yi başarıyla çektiğini açıkladı. Saldırının temelinde, SwapNet’in sözleşmesinde yer alan ‘yetki aşımı’ açıkları olduğu belirtiliyor. Saldırganların, kullanıcıların daha önce verdikleri token izinlerini manipüle ederek fonlara erişim sağladığı ifade ediliyor.

Matcha Meta: “0x protokolü güvenli, doğrudan onay opsiyonu kaldırılıyor”

Matcha Meta ekibi yaptığı açıklamada, saldırının 0x altyapısına dayalı tek seferlik onay sistemini hedef almadığını, yalnızca manuel olarak token onayı veren kullanıcıların hedef alındığını vurguladı. Platformun ‘AllowanceHolder’ ve ‘Settler’ akıllı kontratlarına dayanan sistemi, kullanıcı izinlerini sınırlı ve geçici olarak tanımlıyor.

Saldırıdan sonra yapılan teknik incelemelerde, tek seferlik onay özelliğini kullanan kullanıcıların etkilenmediği doğrulandı. Bu doğrultuda proje ekibi, Matcha Meta üzerinden doğrudan token onayının artık mümkün olmayacağını açıkladı.

Kalıcı onayların yarattığı açık DeFi için önemli bir uyarı

Olay, DeFi ekosisteminde uzun süredir tartışılan bir güvenlik açığını yeniden gündeme taşıdı. Kripto cüzdanlarında verilen kalıcı token izinleri, yıllar sonra bile kötü niyetli kişiler tarafından kullanılabilir hale geliyor. Son yıllarda yaşanan pek çok saldırı bu tür izin açıklarından kaynaklandı.

Blokzincir analiz firması SlowMist’in raporuna göre, 2025 itibarıyla akıllı sözleşme açıkları tüm kripto hack vakalarının yüzde 30’unu oluşturuyor. Ayrıca gelişen yapay zeka teknolojileri sayesinde korsanların hem saldırı hem de kaçış süreci daha da hız kazandı.

Yılın başından bu yana DeFi tabanlı projeler arka arkaya saldırıya uğradı. Örneğin IPOR Labs, Arbitrum ağında yaklaşık 336 bin dolar zarar ettirildi. Truebit ise 8.500 ETH’yi aşan kayıplar yaşadı. Layer-1 projesi Saga da 7 milyon dolarlık kayıp sonrası kendi EVM zincirini geçici olarak durdurdu.

DeFi dünyasında kullanıcı kontrolü her ne kadar temel yapıtaşı olsa da, bu yetkilerin kötüye kullanılması yüksek risk oluşturuyor. Matcha Meta hack vakası, temel güvenlik önlemlerinin ne kadar kritik olduğunu bir kez daha hatırlatmış oldu.