Haberler 
Coin Bilgisi 
Hakkımızda 
Arbitrum(ARB) ağında StakeDAO ile bağlantılı dağıtıcı anahtarının ele geçirildiğinden şüphelenilen bir saldırı sonucu, 5,4 trilyon adetten fazla vsdCRV token’ı basıldı. Ancak havuzlardaki ‘likidite’ çok sınırlı olduğu için, saldırganın fiilen nakde çevirebildiği miktar yalnızca yaklaşık 91.000 dolar seviyesinde kaldı.
Blockchain güvenlik şirketi PeckShield’in verilerine göre saldırgan, 16’sında (yerel saatle) bastığı vsdCRV’lerin bir bölümünü 43,7 adet Ethereum(ETH) ile takas ederek yaklaşık 91.000 dolar elde etti ve bu varlıkları Ethereum ağına ‘bridge’ etti. On-chain analisti AmberCN, saldırganın toplamda yaklaşık 16,83 milyon vsdCRV takas ettiğini, havuzlarda kalan token’lar için ise “neredeyse çıkış yapılabilecek likidite kalmamıştı” yorumunu yaptı.
AmberCN, 5,4 trilyon adet vsdCRV’nin ‘nominal değerini’ yaklaşık 763 milyar dolar olarak hesapladı. Ancak bu rakam, ne saldırganın gerçek kârını ne de protokolün fiili zararını yansıtıyor. Olay, DeFi saldırılarında token’ların ‘yüzeysel piyasa değeri’ ile gerçekten tahsil edilebilen değer arasındaki farkın ne kadar büyük olabileceğini gösteren çarpıcı bir örnek oldu.
StakeDAO ekibi, olayı tespit ettiklerini açıklayarak kullanıcılardan vsdCRV ile etkileşimden kaçınmalarını istedi. Buradaki temel sorun, akıllı sözleşme kodundaki doğrudan bir açık değil, ‘operasyonel anahtar yönetiminde’ yaşanan zafiyet olarak öne çıkıyor.
Kripto anahtar yönetimi şirketi Zengo’nun (Sodot yerine Zengo örnek olarak verilebilir, ‘yorum’) kurucu ortağı ve üründen sorumlu üst düzey yöneticisi (CPO) Shalev Keren(Shalev Keren), son dönemde art arda görülen dağıtıcı anahtar ele geçirme vakalarıyla bu saldırı arasında yapısal benzerlikler bulunduğuna dikkat çekti. Keren, “tek bir dağıtıcı anahtarın yetkili yapılandırma fonksiyonlarını kontrol ettiği, ‘multisig’ veya gecikme mekanizması bulunmayan bir model kullanıldı” yorumunu yaptı.
Keren’in aktardığına göre Arbitrum’daki tekil dağıtıcı anahtar, vsdCRV’nin çapraz zincir köprü (cross-chain bridge) ayarlarını saldırgan tarafından kontrol edilen bir sözleşmeye yönlendirdi. Yaklaşık 25 saniye sonra bu sözleşme LayerZero üzerinden tekrar mesaj gönderdi ve Arbitrum tarafında devasa miktarda vsdCRV basıldı. Keren, “Burada sorun LayerZero değildi; tek bir kişisel anahtarın tek bir ‘kritik fonksiyon’ üzerinde tam yetkiye sahip olmasıydı” ifadelerini kullanarak, 2026’ya doğru DeFi güvenliğinde odak noktasının yalnızca ‘denetim raporları’ndan çıkıp operasyonel anahtarların dağıtık ve güvenli yönetimine kaydığını vurguladı.
Sonuç olarak, bu ‘hack şüphesi’ vakası, büyük ölçekli mint işleminin kendisinden çok, *likidite* koşulları ve *yetki yönetimi* zayıf olduğunda hasarın nasıl sınırlanabildiğini ya da tırmanabildiğini ortaya koyuyor. DeFi ekosisteminde ‘güvenlik’ kavramının sadece sözleşme kodundan ibaret olmadığı; anahtar yönetimi, yetki tasarımı ve operasyonel süreçlerle birlikte düşünülmesi gerektiği bir kez daha netleşmiş durumda.
Yorum 0