Haberler 
Coin Bilgisi 
Hakkımızda 
솔라나(SOL) ekosisteminin önde gelen merkeziyetsiz borsalarından Raydium, yıllardır güncellenmeyen ‘eski kod’ üzerindeki bir açık nedeniyle yaklaşık 1,34 milyon dolar (yaklaşık 20,5 milyar won) değerinde kripto varlık kaybı yaşadı. Olay, artık kullanılmayan likidite havuzlarında gerçekleşti ve *mevcut Raydium hizmeti ile aktif kullanıcılar etkilenmediği* özellikle vurgulandı. ‘DeFi güvenliği’, ‘eski akıllı kontratlar’ ve ‘likidite havuzu riski’ bu haberin öne çıkan başlıkları arasında yer alıyor.
10 Haziran’da (yerel saatle) gerçekleşen saldırı, Raydium’un eski otomatik piyasa yapıcı (AMM) V3 programındaki bir zafiyetten kaynaklandı. Zincir üstü verilere göre saldırgan, ‘Bq33QVk’ adresiyle ilişkilendiriliyor ve yaklaşık 900.000 dolar değerinde USDC, 357.000 dolar civarında Solana(SOL) ve 86.000 dolar değerinde Raydium’un yerel token’ı Ray(RAY) çaldı.
Sorunun merkezinde ‘LP token doğrulama eksikliği’ bulunuyor. Normal şartlarda otomatik piyasa yapıcı(AMM) modellerinde, likidite payını temsil eden LP token’ların *geçerli ve yetkili* olup olmadığı kontrol edilmeden havuzdan çıkış yapılamıyor. Ancak Raydium’un bu ‘legacy’ programında ilgili kontrol adımı bulunmuyordu. Saldırgan, sahte bir SPL token üreterek yalnızca 1 adet token ile tüm havuzun LP payına sahipmiş gibi sistemin gözünü boyadı.
Bu açık sayesinde saldırgan, havuzdaki varlıkların tamamını çekebildi. On-chain analizlere göre aynı yöntemle toplam 5 farklı havuzdan yaklaşık 150.177 RAY, 5.603 SOL ve 893.700 USDC boşaltıldı. ‘Eski akıllı kontratlar’ ve ‘denetlenmemiş LP token mantığı’ bu noktada temel risk unsuru olarak öne çıktı.
Çalınan fonlar hızlı şekilde Solana ağından Ethereum(ETH) ağına bridge edildi. Ardından borsalar KuCoin(KCS) ve FixedFloat üzerinden aktarılarak, mahremiyet odaklı protokol Tornado Cash’e yönlendirildi. Bu tür ‘zincirler arası (cross-chain) karıştırma’ yöntemleri, DeFi saldırılarında sıkça görülen bir fon aklama taktiği ve fon takibini ciddi biçimde zorlaştırıyor.
On-chain analistlerin tespitlerine göre saldırgan, Solana ekosistemi içinde doğrudan nakde çevirme yoluna gitmedi, bunun yerine ilk andan itibaren zincir değiştirerek iz kaybettirmeyi tercih etti. Şu ana kadar dondurulan varlık ya da borsa kaynaklı bir engelleme adımı rapor edilmedi. ‘Cross-chain köprüler’ ve ‘mahremiyet protokolleri’, olası fon kurtarma ihtimalini zayıflatan etkenler olarak dikkat çekiyor.
Raydium ekibi, olayın *özel anahtar sızıntısı* ya da *yönetici yetkisi suiistimali* ile ilgili olmadığının altını çizdi. Platform, zafiyetin tamamen akıllı kontrat mantığına dayalı ‘kendi içindeki bir mantık kusurundan’ kaynaklandığını ve bugünün üretim ortamında çalışan sistemlere yayılma riski bulunmadığını açıkladı.
Saldırıya konu olan AMM V3 havuzlarının zaten önceden üretimden kaldırıldığı, normal kullanıcı arayüzü (UI) üzerinden bu havuzlara erişim imkânı bulunmadığı ifade edildi. Bu nedenle *güncel Raydium kullanıcıları* veya *aktif likidite havuzları* doğrudan bir zarara uğramadı. Bu olay, 2022’de yaklaşık 4,4 milyon dolarlık kayba yol açan özel anahtar sızıntısı vakasından da net biçimde ayrışıyor. O dönem ‘operasyonel güvenlik’ ön plandayken, bu kez sorun ‘zincirde bırakılmış eski kodun’ yarattığı riskten kaynaklandı.
Raydium, protokol hazinesini kullanarak zarar gören taraflara *tüm kaybı eksiksiz telafi etme* kararı aldığını açıkladı. Ekip, söz konusu eski programı tamamen devre dışı bıraktığını ve tüm kod tabanı üzerinde kapsamlı bir güvenlik inceleme süreci başlattığını da belirtti. Bununla birlikte, detaylı tazminat takvimi ve dağıtım mekanizması henüz kamuoyu ile paylaşılmış değil. ‘Kullanıcı güveni’, ‘protokol hazinesi kullanımı’ ve ‘risk yönetimi’ bu aşamada ön plana çıkıyor.
Piyasa tepkisi ise şaşırtıcı derecede sakin kaldı. Ray(RAY) token’ı, saldırı sonrasındaki 24 saat içinde yaklaşık yüzde 2 artışla 0,578 dolar (yaklaşık 885 won) seviyesinden işlem gördü. Buna karşın son bir haftalık performans baz alındığında fiyat yaklaşık yüzde 7 aşağıda ve tüm zamanlar zirvesine göre yüzde 96’dan fazla değer kaybı söz konusu. Yani kısa vadede haber akışı sınırlı bir alım baskısı yaratsa da, uzun vadeli trend hala zayıf.
Bu olay, DeFi ekosisteminde *“kullanımdan kalkmış olsa bile üzerinde varlık bulunan her kontrat potansiyel risktir”* gerçeğini bir kez daha ortaya koydu. Güvenlik stratejisinin yalnızca aktif protokollerle sınırlı kalmaması, geçmişte dağıtılmış ve unutulmuş akıllı kontratları da kapsaması gerektiği net şekilde görüldü. ‘DeFi güvenlik standardı’, ‘eski kontrat yönetimi’ ve ‘sürekli denetim’ başlıkları, benzer saldırıların önlenmesi için yeniden gündemin üst sıralarına taşınmış durumda.
Yorum 0