Haberler 
Coin Bilgisi 
Hakkımızda 
1inch(1INCH) ile bağlantılı DeFi likidite yapısında yeniden ‘büyük çaplı bir hack’ yaşandı. Saldırganın, ‘Trusted Volumes’ resolver sözleşmesindeki bir ‘açığı’ istismar ederek sarılı Ethereum(WETH), Tether(USDT), sarılı Bitcoin(WBTC) ve USD Coin(USDC) dahil olmak üzere yaklaşık 5,87 milyon dolarlık varlığı çektiği bildirildi. ‘Trusted Volumes’ tarafındaki bu zafiyet, DeFi ekosisteminde ‘token onayı’ yönetiminin ne kadar kritik olduğunu bir kez daha gündeme taşıdı.
Blokzincir güvenlik şirketlerine göre saldırı henüz tam olarak sona ermemiş olabilir. Bu nedenle ‘ilave kayıp’ ihtimali masada duruyor. Özellikle DeFi genelinde yaygın olan ‘süresiz/limitsiz token onayı’ uygulaması, bu olayla beraber yeniden tartışma konusu haline geldi.
Blok güvenlik firması Blockaid’e göre saldırgan, ‘Trusted Volumes’ resolver sözleşmesinde yer alan bir ‘public function’ üzerinden kendisini ‘Allowed Order Signer’ olarak sisteme kaydetmeyi başardı. Ardından, kullanıcıların geçmişte verdiği token onaylarını kullanarak fonları farklı adreslere taşıdı. ‘Yorum: Buradaki temel sorun, bir kez verilen onayın kullanıcı tarafından çoğu zaman unutulması ve iptal edilmemesi.’
Bu nedenle saldırının gerçekleşmesi için mağdurların ‘yeni bir işlem onayı’ vermesine gerek kalmadı. Cüzdanda daha önce verilmiş ve hâlâ geçerli olan token izinleri, saldırganın doğrudan varlıklara erişmesini sağladı. Bu durum, DeFi ekosisteminde ‘limitsiz onay’ pratiğinin neden ‘kritik risk’ yarattığını gösteren tipik bir örnek olarak değerlendiriliyor.
Blockaid, son ‘Trusted Volumes’ saldırısının, 2025 yılının Mart ayında yaşanan 1inch Fusion V1 istismarıyla bağlantılı olabileceğini de aktardı. Şirket, kullanılan zafiyetli resolver sözleşmeleri ve saldırgan cüzdanlarının izlediği kalıplar arasında ‘dikkat çekici benzerlikler’ olduğunu belirtiyor. ‘Yorum: Tekrarlayan imza ve resolver desenleri, aynı veya bağlantılı bir grup saldırgan olasılığını güçlendiriyor.’
Blokzincir güvenlik şirketi PeckShield ise saldırıda şu ana kadar çekilen varlıkları 1.291,16 WETH, 206.282 USDT, 16,939 WBTC ve 1.268.771 USDC olarak hesapladı. Toplam kayıp, mevcut fiyatlar baz alındığında yaklaşık 5,87 milyon dolar seviyesinde. PeckShield, kullanılan resolver sözleşmesi ile 2025 Mart’ındaki 1inch Fusion V1 saldırısında tespit edilen zafiyetli proxy yapıları arasında da ‘doğrudan ilişki’ olduğunu ifade etti.
Güvenlik firmaları, iki olay arasındaki benzerliklerin oldukça belirgin olduğuna dikkat çekiyor. Hem kullanılan teknik yöntemler hem de hedef alınan bileşenlerin benzeşmesi, DeFi altyapılarında ‘aynı tür zafiyetlerin yeterince hızlı kapatılmadığı’ eleştirilerini güçlendiriyor. ‘Yorum: Eski ya da güncellenmemiş sözleşmelerin sistemde kalması, zincirleme istismar riskini artırıyor.’
‘Trusted Volumes’ istismarı, son bir ay içinde yaşanan beşinci büyük DeFi hack vakası olarak öne çıkıyor. Arka arkaya gelen saldırılar, kripto piyasasında güvenlik başlığını yeniden en önemli gündem maddelerinden biri haline getirdi. Özellikle kurumsal ve profesyonel yatırımcıların DeFi’ye bakışında ‘risk primi’nin yükseldiği belirtiliyor.
Yakın dönemde Drift Protocol’e(‘Drift Protocol’) yönelik yaklaşık 285 milyon dolarlık saldırı ve Kelp DAO(‘Kelp DAO’) tarafında raporlanan 293 milyon dolar civarındaki kayıp da piyasada şok etkisi yaratmıştı. Bu olaylar, ‘DeFi olduğu için otomatik olarak güvenli’ algısının gerçeklikle örtüşmediğini bir kez daha ortaya koyuyor.
DefiLlama verilerine göre 2026 Nisan’ında çalınan kripto varlıkların toplamı yaklaşık 635,2 milyon dolara yükseldi. Bu rakam, 2025’te yaşanan Bybit(Bybit) saldırısından sonra görülen en yüksek aylık kayıp seviyesine işaret ediyor. ‘Kelime’DeFi güvenliği’ ve ‘kelime’akıllı sözleşme denetimi’, bu tabloyla birlikte piyasanın yeniden odaklandığı temel başlıklar haline geldi.
Uzmanlar, kullanıcıların ‘token onaylarını’ düzenli olarak kontrol edip gereksiz izinleri iptal etmesi, projelerin ise resolver ve proxy yapıları dahil tüm kritik bileşenleri periyodik olarak denetimden geçirmesi gerektiğini vurguluyor. ‘Kelime’Trusted Volumes’ olayı, DeFi’de güvenlik modelinin yalnızca teknolojiye değil, aynı zamanda kullanıcı alışkanlıklarına ve izin yönetimine de bağlı olduğunu net şekilde gösteren bir örnek olarak kayıtlara geçti.
Yorum 0