Wasabi Protokolü Yönetici Anahtarı Açığından 5 Milyon Dolardan Fazla Kaybetti

Neler Yaşandı

Blokzincir güvenlik firması PeckShield'ın raporuna göre, on-chain kalıcı vadeli işlem (perpetual) protokolü Wasabi, 30 Nisan 2026 tarihinde saldırıya uğradı. Saldırganlar Ethereum, Base, Berachain ve Blast ağları üzerinden 5 milyon doların üzerinde varlığı ele geçirdi.

Saldırgan, Wasabi'nin PerpManager AccessManager biriminde bu yetkiye sahip tek adres olan wasabideployer.eth olarak tanımlanan protokol dağıtıcı cüzdanı üzerinden ADMIN_ROLE yetkisini ele geçirdi. Ardından kasaları (vaults), kullanıcı bakiyelerini boşaltan kötü niyetli bir uygulama ile güncelledi. İlk belirlemelere göre yaklaşık 4,55 milyon dolar çekilirken, incelemeler aktif olarak devam etmektedir.

Wasabi, X üzerinden olayı kabul ederek soruşturma sürerken kullanıcıları protokolü kullanmamaları konusunda uyardı ve SEAL 911 ile Blockaid dahil olmak üzere profesyonel on-chain güvenlik ekipleriyle çalışmaya başladığını teyit etti.

Saldırı Nasıl Gerçekleşti

Saldırı, UUPS yükseltme açığı (UUPS upgrade exploit) olarak bilinen bir mekanizma üzerinden gerçekleştirildi. Dağıtıcı hesabını ele geçiren saldırgan, güvenli kodu kötü niyetli mantıkla değiştiren bir sözleşme yükseltmesi başlattı ve kasalar ile likidite havuzlarındaki fonları kendi adreslerine yönlendirdi. Protokolde bir zaman kilidi (timelock) mekanizması bulunmadığı için değişiklikler anında uygulandı; bu da geliştiricilerin veya kullanıcıların müdahale etmesine hiçbir pencere bırakmadı.

İhlale ilişkin temel teknik detaylar:

• Saldırgan, dağıtıcı EOA (Harici Sahipli Hesap) üzerinden sıfır gecikmeyle grantRole fonksiyonunu çağırdı ve yönetici sözleşmesini (orchestrator contract) anında yönetici statüsüne geçirdi.
• Etkilenen kasalardan gelen Wasabi ve Spicy LP-share tokenleri "güvenliği ihlal edilmiş" olarak işaretlendi ve geri alım değerleri sıfıra yaklaştı.
• Blockaid, aynı saldırgan adresinin, yönetici sözleşmesinin ve strateji bytecode'unun bu olayı Wasabi'yi hedef alan daha önceki faaliyetlere bağladığını belirtti.
• Kötü niyetli eylemlerin anında uygulanmasını önleyecek çoklu imza (multi-signature) onayı veya zaman gecikmesi gibi koruma önlemleri mevcut değildi.

Nisan 2026: DeFi'nin Kayıtlara Geçen En Kötü Ayı

Wasabi saldırısı münferit bir olay değildi. Bu hack işlemi, iki büyük saldırı ve yirmiden fazla küçük çaplı olayla sarsılan DeFi sektörü için acımasız bir ayı geride bıraktı. Monad'ın eski DeFi yöneticisi X'te yaptığı açıklamada, Nisan 2026'nın 30 günde gerçekleşen 28 olayda yaklaşık 635 milyon dolar kayıpla sonuçlandığını belirtti.

Ayın en büyük iki olayı şunlardı:

• Drift Protocol — 1 Nisan'da Solana tabanlı vadeli işlemler borsası, altı aylık bir hazırlık sürecinin ardından Kuzey Kore devlet bağlantılı bir operasyon olduğu bildirilen olayda, 15'ten fazla farklı token türünde yaklaşık 270 milyon dolarlık çıkış yaşadı.
• Kelp DAO — 18 Nisan'da Kuzey Kore devlet destekli olduğundan şüphelenilen bir saldırgan, LayerZero köprüsünü istismar ederek kaynak tarafta hiçbir varlık kilitli olmamasına rağmen 116.500 rsETH basılmasına olanak tanıyan sahte bir zincirler arası mesaj oluşturdu. Saldırgan daha sonra karşılıksız rsETH'leri teminat olarak Aave'ye yatırdı ve yaklaşık 236 milyon dolar değerinde gerçek WETH borç aldı.

Kelp olayına verilen yanıt, Kelp'in rsETH desteğini geri kazanmak için 300 milyon dolardan fazla kaynak sağlayan ve "DeFi United" olarak adlandırılan, DeFi protokolleri ile bireyler arasındaki eşi benzeri görülmemiş bir kolektif çabayı içeriyordu.

Yapay Zeka-Hacker Teorisi

Son dönemdeki saldırıların sıklığı ve hassasiyeti, saldırganların kullandığı araçlar hakkındaki tartışmaları yeniden alevlendirdi. Geliştirici Vitto Rivabella, Kuzey Kore'nin yıllarca çalınan DeFi verileri üzerinde kurum içi bir yapay zeka modeli eğittiğine dair bir teoriyi kamuoyuyla paylaştı ve bu modelin artık insan denetçilerin yama yapmasından daha hızlı bir şekilde protokolleri boşaltan otonom bir saldırgan olarak çalıştığını öne sürdü. Doğrulanmamış olsa da bu hipotez, güvenlik topluluğunda saldırganların protokol savunma ekiplerine karşı sahip olabileceği asimetrik avantaj konusundaki artan endişeyi yansıtmaktadır.

Kullanıcılar Şimdi Ne Yapmalı?

Güvenlik ekipleri, etkilenen bireyleri kritik bir ilk adım olarak protokolle ilişkili tüm akıllı sözleşme izinlerini iptal etmeye (revoke) çağırıyor. Revoke.cash gibi araçlar, güvenliği ihlal edilmiş sözleşmelere daha önce verilmiş olan erişimin kaldırılmasına yardımcı olabilir. Kullanıcılar şüpheli bağlantılarla veya resmi olmayan kurtarma programlarıyla etkileşime girmekten kaçınmalı ve yalnızca doğrulanmış resmi duyuruları takip etmelidir.

Yapay zekanın mevcut saldırı dalgasını hızlandırıp hızlandırmadığına bakılmaksızın, Wasabi olayı yapısal bir sorunu açıkça ortaya koyuyor: Zaman kilitleri veya çoklu imza kontrolleri olmayan tek anahtarlı yönetici mimarileri, bugün DeFi'deki en savunmasız açıklar arasında yer almaya devam ediyor.

Coinplurk.com tarafından yayınlanmıştır.