Perşembe gece likidite sağlayıcı ve maker TrustedVolumes, bir akıllı sözleşme istismarına uğradıktan sonra DeFi sektöründe yeni bir milyon dolarlık saldırıya maruz kaldı.
6,7 milyon dolarlık bir hileyle Güvenilir Hacimler hedef alındı
Perşembe günü, 1inch likidite sağlayıcıları ve maker'larından biri olan DeFi platformu TrustedVolumes, projeden milyonlarca dolarlık çok sayıda varlığı boşaltan yeni bir sızıntıya uğradı.
Blockchain güvenlik firmaları PeckShield ve Blockaid'e göre, saldırgan, protokolün temel imza doğrulama mantığında bulunan bir zafiyeti kullanarak yaklaşık 6 milyon dolarlık Sarılmış Ethereum (WETH), Sarılmış Bitcoin (WBTC), USDT ve USDT çaldı ve bu sayede yetki kontrollerini atlayarak işlem emirleri sahtekârlığı yaptı.
Özellikle, haker tüm varlıkları bir Merkeziyetsiz Borsa (DEX) üzerinde 2,513 ETH'ye değiştirdi ve bunları üç adrese dağıttı. TrustedVolumes, onayladı olayı, şimdide çalınan fonları tutan adresleri paylaştı ve tahmini kaybı yaklaşık 6,7 milyon dolara yükseltti.
Zafiyet, TrustedVolumes tarafından kontrol edilen özel RFQ (teklif isteği) takas proxy'siydi. Kripto araştırmacısı Humphrey açıkladı ki “Özel RFQ Takas Proxy sözleşmesi, ‘yetkili sipariş imzalayıcı’ beyaz listesini yönetmek için tasarlanmış bir fonksiyona sahiptir. Böyle beyaz liste mekanizmaları DeFi’de yaygındır—sadece beyaz listedeki adresler protokol adına geçerli işlem talimatları verebilir.”
Ancak, “bu kayıt işlevinin kamuya açık olduğunu ve herhangi bir izin değiştiricisi olmadığını” belirtti. Sonuç olarak, saldırgan, sözleşmedeki bu kamuya açık işlevi kullanarak kendisini yetkili sipariş imzalayıcısı olarak kaydetti.
Araştırmacı, “Herhangi bir dış adres bu işlevi çağırabildiğinden, bu, herkese kasanın anahtarının bir kopyasını yapma yeteneğini vermekle eşdeğerdir,” dedi.
Aynı Haker, Farklı Saldırı
Çevrimiçi raporlar, saldırganın Mart 2025'te gerçekleşen 5 milyon dolarlık 1inch Fusion V1 Settle contract sızıntısından sorumlu olan aynı haker olduğunu ortaya koydu; TrustedVolumes bu olayda ana mağduriyetti.
Humprey, aynı bireyin her iki saldırıyı da gerçekleştirdiğini, ancak teknik düzeyde önemli farklılıklar olduğunu vurguladı. Gönderiye göre, 2025 açıklığı, 1inch Fusion V1 Takas sözleşmesinde düşük seviyeli EVM bellek manipülasyonunu içeriyordu.
O sırada, hacker “çevrimiçi müzakereleri aktif olarak başlattı” ve çalınan varlıkları beyaz şapka ödülü karşılığında iade etmeyi teklif etti. DeFi platformu teklifi kabul etti ve fonların çoğu güvenle iade edildi.
Şu anda TrustedVolumes, bir hata ödüllendirme ve karşılıklı kabul edilebilir bir çözüm hakkında yapıcı iletişim kurmaya açık olduğunu doğruladı.
Merkeziyetsiz borsa agregatörü 1inch açıkladı, sistemlerine, altyapısına veya kullanıcı fonlarına herhangi bir etki olmadığını; “Güvenilir Hacimler, endüstrideki birçok protokol tarafından kullanılan, 1inch’e özel olmayan, bağımsız bir likidite sağlayıcısı olarak çalışır” dedi.
DeFi Saldırılarında Tarihi Bir Artış GözleniyorBu saldırı, geçen ay DeFi sektörünü sarsan bir dizi istismardan sonra gerçekleşti. Geçen hafta PeckShield, Nisan ayında kripto alanındaki 40 büyük hakerlik olayının yaklaşık 647 milyon dolarlık bir kayba neden olduğunu açıkladı.
Bu rakam, Mart ayındaki 52,2 milyon dolarlık tutara göre %1.140'lık ay-ay bazında (MoM) artıştır. Aynı zamanda, 2026'nın ilk çeyreğinde DeFi sektörünün kaybettiği 165 milyon dolarlık tutara göre %292'lik bir artıştır.
Özellikle, ayın iki büyük olayı olan Drift Protocol'nin 285 milyon dolarlık ve KelpDAO'nın 290 milyon dolarlık sızıntıları, geçen ay kaybedilen fonların %91'ini oluşturdu. Ayrıca, bu olaylar şimdi 2021'den beri en büyük 10 sızıntı arasında yer alıyor.
