Haberler 
Coin Bilgisi 
Hakkımızda 
Stake DAO, Özel Anahtar Sızıntısı Şüphesiyle Hacklendi: Arbitrum’da 5,4 Trilyon ‘vsdCRV’ Basıldı, DeFi Güvenliği Yeniden Gündemde
Uzun süredir faaliyet gösteren DeFi platformu *Stake DAO* yeniden *hack* iddiasıyla sarsıldı. İlk bulgulara göre saldırganın, projeye ait bir ‘özel anahtarı’ ele geçirdiği ve Arbitrum(ARB) ağında platformun ‘vsdCRV’ token’ından 5,4 trilyon adet bastığı belirtiliyor. Saldırgan bu token’ların bir kısmını Ethereum(ETH) ile takas ederek yaklaşık ‘91.000 dolar’ gelir elde etti. Olay sonrası *DeFi güvenliği* etrafındaki tartışmalar yeniden alevlenmiş durumda.
Blockchain güvenlik şirketi Blockaid’e göre saldırgan, ele geçirdiği ‘dağıtıcı (deployer) yetkisi’ ile token’ın LayerZero OFT sözleşmesini yeniden yapılandırdı. Ardından ‘saldırganın dağıttığı kötü amaçlı sözleşmeye’ sınırsız *mint* yetkisi tanıdığı ifade edildi. Stake DAO’nun ‘vsdCRV’ token’ı, Curve Finance’in(Curve Finance) CRV varlığını *wrap* eden, getiri odaklı bir türev ürün olarak kullanılıyordu.
On‑chain verilere göre saldırgan, bastığı devasa miktardaki vsdCRV’nin bir kısmını 44 ETH karşılığında sattı. Arbitrum üzerindeki likidite neredeyse tamamen tükenince, elde edilen kâr Ethereum ana ağa taşındı. Proje ekibi, X üzerinden yaptığı açıklamada ‘durumun farkında olduklarını’ bildirerek kullanıcılardan ‘csdCRV’ ile tüm *etkileşimleri durdurmalarını* istedi. Buna paralel olarak Curve Finance tarafı da, ‘asdCRV’ içeren LlamaLend pozisyonlarının, olası tasfiye riskini önlemek için kapatılması yönünde uyarıda bulundu.
Stake DAO, 2021’de faaliyete başlamış ve beş yılı aşkın süredir sektörde yer alan bir DeFi protokolü. Ancak geçmişte de güvenlik risklerinden tamamen uzak değildi. Bu yıl mart ayında, platformun Votemarket ödül programı ‘komşu oracle güncelleme mekanizması’ndaki bir zafiyet üzerinden saldırıya uğramış, Arbitrum ve Base(Base) ağlarında toplam yaklaşık ‘175.000 dolar’ değerinde fon çekilmişti. Bu tutarın büyük kısmı daha sonra iade edilmişti.
Son saldırı, *DeFi güvenliği* etrafındaki genişleyen tartışmalarla da doğrudan örtüşüyor. OpenZeppelin(OpenZeppelin) kurucu ortağı Manuel Araoz, saldırıdan hemen önce X üzerinden DeFi sektörünün geneli için ‘güvenli değil’ değerlendirmesinde bulundu. Araoz, özellikle *yapay zeka tabanlı kodlama ajanlarının* Aave(AAVE), MakerDAO(MakerDAO), Compound(Compound) gibi ‘düşük riskli blue‑chip’ protokollerini bile yeni saldırı yüzeylerine açık hale getirebileceğini savundu.
Buna karşılık eski Aave temsilcisi Marc Zeller, bu yaklaşımı ‘abartılı ve temelsiz’ olarak nitelendirdi. Zeller’e göre DeFi’de yaşanan kayıpların büyük kısmı, akıllı sözleşme kodunun doğrudan hatalarından ziyade ‘yanlış risk parametreleri, zayıf teminat yapıları ve yetersiz operasyonel güvenlik’ gibi alanlardaki sorunlardan kaynaklanıyor. Yearn geliştiricisi olarak bilinen Banteg de benzer bir noktaya değinerek, ‘küçük bir operasyonel hatanın bile ölümcül sonuçlar doğurabileceğini’ ve son dönemdeki pek çok vakada ‘yetkili hesapların / anahtarların çalınması veya yanlış yapılandırılması’ temasının öne çıktığını vurguladı.
Stake DAO vakası, DeFi ekosisteminde ‘basit bir yetki veya anahtar yönetimi hatasının’ bile anında ‘milyonlarca dolarlık sanal arz şişmesine’ ve zincir genelinde zarara dönüşebildiğini bir kez daha gösterdi. Özellikle *yapay zeka destekli geliştirme araçlarının* hızla yaygınlaştığı bir ortamda, ‘güvenlik denetimleri, çoklu imza yapıları ve sıkı anahtar yönetimi’ gibi konuların DeFi projeleri için artık opsiyonel değil, *zorunlu altyapı bileşenleri* haline geldiği düşünülüyor. Bu olay, *DeFi güvenliği* tartışmalarında ‘insan hatası ve anahtar güvenliği’ başlığını uzun süre gündemde tutacak gibi görünüyor.
Yorum 0