📚 Aevo'da Oracler Ayar Hatası Nedeniyle Olan Fon Kaybı ✅ Özeti Aevo'ya entegre edilen eski Ribbon Finance Vault'unda, oracler ayarının güncellenmesi sırasında yaklaşık 2.7 milyon dolarlık fon kaybı yaşandı. Bu, kripto teknolojisinin gelişmiş bir şekilde kırılması değil, izin yönetimi ve fiyat hesaplamasındaki ayar hatalarının zincirleme şekilde kötüye kullanılmasıydı. Eski tasarım ile yeni güncellemeler arasındaki farkın nasıl ölümcül sonuçlara yol açtığı açıklık kazandı. ✅ Ribbon'dan Aevo'ya Entegrasyon Arka Planı Ribbon Finance, DeFi opsiyonlarının başlangıç protokollerinden biri olarak bilinir ve daha sonra Aevo ile birleştirildi. Bu entegrasyon, hizmetin sona ermesi değil, mevcut Vault'ların Aevo'nun temel işlevleri olarak devam ettirilmesi kararıydı. Bu yüzden eski Vault hâlâ Ethereum üzerinde çalışıyor ve fonlar da orada kalmıştı. ✅ Oracler Güncellemesinin Başlangıcı 2025 Aralık ayında, Aevo eski Ribbon Vault'unda oracler ayarlarını güncelledi. Oracler, fiyat bilgilerini akıllı sözleşmelere ileten kritik bir sistemdir. Ancak bu güncelleme sırasında, yönetici izin kontrolü kaldırılmış ve herkes fiyat ve uygulama yerini değiştirebilecek bir durum oluşmuştu. Yani kasa anahtarını çıkartıp açık bırakmış gibiydi. ✅ İzin Hatası ve Fiyat Hesaplamasındaki Fark Güncelleme sonrası oracler, 18 haneli ondalık sayılara dayanıyordu ancak Vault içinde 8 haneli eski varlıklar da kalmıştı. Bu fark, fiyat hesaplamasında bir hata yarattı ve saldırganlar gerçek fiyattan çok daha yüksek fiyatlar belirleyebildi. Ayrıca, oracler sahipliğinin sadece tx.origin (işlemi başlatan ilk gönderici) ile belirlenmesi nedeniyle, belirli cüzdanlardan geçerek resmi yönetici gibi davranabiliyordu. ✅ Saldırı Akışı Saldırganlar önce hatalı koşulları sağlayan bir opsiyon ürünü oluşturdu, ardından oracler uygulamasını geçici olarak değiştirerek fiyatı manipüle etti. Bu durumda oToken (opsiyonu temsil eden token) kullanıldığında, Vault doğru işlem olduğuna inanarak büyük miktarda WETH ve USDC ödedi. Bu işlemi tekrarlayarak Vault kısa sürede boşaltıldı. ✅ Fonların Taşınması ve Gizlenmesi Kaybedilen fonlar, birkaç cüzdana bölünerek, belirli miktarlarda taşındı. Bu, takip etmeyi zorlaştıran tipik bir yöntemdir ve sonunda karıştırıcı cihazlar kullanmayı amaçlayan hareketler olduğu düşünülmektedir. Bu saldırı tek bir kişi tarafından değil, rolleri paylaşan bir yapı tarafından yapıldığına dair de yorumlar yapılmıştır. ✅ Aevo'nun Yanıtı ve Karışıklık Olay ortaya çıktıktan sonra Aevo, eski Ribbon Vault'u durdurdu. İlk başta bazı fonların geri ödeme yapılmasına dayalı bir çözüm önerdi ancak bu varsayım yanlış olduğu için geri çekildi. Sonuç olarak, zaten çekim işlemi yapmış kullanıcılar ve hâlâ Vault'ta fonları bulunan kullanıcılar arasında farklı sonuçlar ortaya çıktı. ✅ Bu Olayın Gösterdiği Bu problem, akıllı sözleşmelerin eskimesi nedeniyle tehlikeli olmaları değil, çalışan kodların "aslında kullanılmadığı" şeklinde yanlış algılanmasının tehlikeli olduğunu göstermektedir. Deprecated (kullanım dışı) olsa bile, fonlar varsa ve izinler varsa, bu kodlar saldırı hedefi olmaya devam eder. Güncellemeler sırasında eski tasarım fikirlerine dikkat edilmezse, yıllar süren güvenlik önlemleri aniden etkisiz hale gelebilir.