Kısa cevap:
- Bir saldırgan, Arbitrum ölçeklenebilir ağı üzerinde 5,44 trilyon vsdCRV getiri token'ı yarattı.
- Blok zinciri güvenlik firmaları, fonların ilk olarak 43,78 ETH değerinde ethereum'a yönlendirildiğini doğruladı.
- Teknik olay, Stake DAO dağıtıcısının özel anahtarının doğrudan ele geçirilmesine bağlanmaktadır; akıllı sözleşme hataları dışlanmaktadır.
Dezentralize finans platformu Stake DAO'nun altyapısı saldırıya uğradı. Çarşamba oturumu sırasında, Arbitrum ağı üzerinde 5,4 trilyon vsdCRV tokeninin yetkisiz olarak çıkarıldığı tespit edildi. Olay, protokolün geliştirme ekibi tarafından resmi kanalları aracılığıyla doğrulandı; kullanıcılar, etkilenen varlıkla her türlü etkileşimi kaçınmaya davet edildi.
Arbitrum köprülerindeki olayın kökeni
Güvenlik firması Blockaid'in teknik raporlarına göre, siber saldırıya bağlantılı adres, vsdCRV tokenini kripto para Ether (ETH) ile büyük ölçüde takas etmeye başladı. PeckShield'in zincir içi analizleri, saldırganın basılmış varlıkların bir kısmını 43,78 ETH, yani yaklaşık 91.000 dolarlık bir tutara dönüştürdüğünü ve bu fonların daha sonra Ethereum ana ağına merkeziyetsiz köprüler aracılığıyla gönderildiğini ortaya koydu.
Blockaid, Arbitrum üzerinde @StakeDAOHQ hedef alan devam eden bir istismarı tespit etti.
Saldırgan, 5,4 trilyonun üzerinde vsdCRV çıkarttı ve bunu ETH ile aktif olarak takas ediyor.
Daha fazla bilgi için
— Blockaid (@blockaid_) 27 Mayıs 2026
vsdCRV varlığı, platformda Curve Finance likidite ekosistemine doğrudan bağlı bir getiri türev tokeni olarak işlev görmektedir. BlockSec denetim firmasından gelen raporlar, saldırganın vektörünün akıllı sözleşmelerin bilgisayar kodundaki bir zafiyetten kaynaklanmadığını göstermektedir. BlockSec'in ilk araştırmaları, saldırganın Arbitrum'da Stake DAO dağıtıcısının özel anahtarına doğrudan erişim sağladığını öne sürmektedir.
Bu yetkili kimlik bilgilerini kontrol eden saldırgan, Ethereum ağı üzerinde doğrudan kontrolü altına aldığı bir zararlı sözleşme ile çapraz zincir köprüsü yapılandırmasını değiştirdi. Güvenlik firması Sodot'un kurucu ortağı Shalev Keren, zararlı sözleşmenin LayerZero'ın uyumlu teknolojisini kullanarak bir doğrulama mesajı gönderdiğini söyledi. Bu eylem, temel sistemi yanılttı ve saldırganın cüzdan adresine 5,44 trilyon vsdCRV'nin şartsız olarak çıkarılmasına neden oldu.
DeFi sektöründeki yapısal zayıflıklar
Bu yeni zafiyet, DeFi protokollerine yönelik saldırıların önemli ölçüde arttığı bir dönemde ortaya çıktı. Siber güvenlik sektörü tahminlerine göre, Nisan 2026'dan beri saldırılar nedeniyle oluşan toplam kayıplar 600 milyon doları aşmıştır; bu trend, saldırganların gelişmiş yapay zeka araçlarını kullanmasıyla ilişkilendirilmektedir.
Çok imzalı (multisig) bir şema veya zaman gecikmeli bir mekanizma (timelock) olmaması, istismarın hemen gerçekleştirilmesine izin verdi. Sodot verilerine göre, yetkili yapılandırmanın değiştirilmesi ile blok zinciri üzerinde fonların basılması arasında sadece yirmi beş saniye geçti. Bu operasyonel desen, geçen ay Wasabi protokolünün yaşadığı saldırı ile yapısal benzerlikler paylaşmaktadır.
Stake DAO ekibi, kalan fonların hareketlerini takip etmek için altyapı sağlayıcıları ve blok zinciri forensik analiz firmalarıyla koordinasyon içindeyken, bastırma işlemlerini geçici olarak durdurdu. Kompromiz edilmiş anahtarın işlevlerinin tamamen iptal edilmesi tamamlandığında, Arbitrum üzerinde düzeltilmiş sözleşme dağıtımı bekleniyor.