Wasabi Protokolü Yönetici Anahtarı Açığından 5 Milyon Dolardan Fazla Kaybetti
Neler Yaşandı
Blokzincir güvenlik firması PeckShield'ın raporuna göre, on-chain kalıcı vadeli işlem (perpetual) protokolü Wasabi, 30 Nisan 2026 tarihinde saldırıya uğradı. Saldırganlar Ethereum, Base, Berachain ve Blast ağları üzerinden 5 milyon doların üzerinde varlığı ele geçirdi.
Saldırgan, Wasabi'nin PerpManager AccessManager biriminde bu yetkiye sahip tek adres olan wasabideployer.eth olarak tanımlanan protokol dağıtıcı cüzdanı üzerinden ADMIN_ROLE yetkisini ele geçirdi. Ardından kasaları (vaults), kullanıcı bakiyelerini boşaltan kötü niyetli bir uygulama ile güncelledi. İlk belirlemelere göre yaklaşık 4,55 milyon dolar çekilirken, incelemeler aktif olarak devam etmektedir.
Wasabi, X üzerinden olayı kabul ederek soruşturma sürerken kullanıcıları protokolü kullanmamaları konusunda uyardı ve SEAL 911 ile Blockaid dahil olmak üzere profesyonel on-chain güvenlik ekipleriyle çalışmaya başladığını teyit etti.
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
Saldırı Nasıl Gerçekleşti
Saldırı, UUPS yükseltme açığı (UUPS upgrade exploit) olarak bilinen bir mekanizma üzerinden gerçekleştirildi. Dağıtıcı hesabını ele geçiren saldırgan, güvenli kodu kötü niyetli mantıkla değiştiren bir sözleşme yükseltmesi başlattı ve kasalar ile likidite havuzlarındaki fonları kendi adreslerine yönlendirdi. Protokolde bir zaman kilidi (timelock) mekanizması bulunmadığı için değişiklikler anında uygulandı; bu da geliştiricilerin veya kullanıcıların müdahale etmesine hiçbir pencere bırakmadı.
İhlale ilişkin temel teknik detaylar:
- Saldırgan, dağıtıcı EOA (Harici Sahipli Hesap) üzerinden sıfır gecikmeyle
grantRolefonksiyonunu çağırdı ve yönetici sözleşmesini (orchestrator contract) anında yönetici statüsüne geçirdi. - Etkilenen kasalardan gelen Wasabi ve Spicy LP-share tokenleri "güvenliği ihlal edilmiş" olarak işaretlendi ve geri alım değerleri sıfıra yaklaştı.
- Blockaid, aynı saldırgan adresinin, yönetici sözleşmesinin ve strateji bytecode'unun bu olayı Wasabi'yi hedef alan daha önceki faaliyetlere bağladığını belirtti.
- Kötü niyetli eylemlerin anında uygulanmasını önleyecek çoklu imza (multi-signature) onayı veya zaman gecikmesi gibi koruma önlemleri mevcut değildi.
Nisan 2026: DeFi'nin Kayıtlara Geçen En Kötü Ayı
Wasabi saldırısı münferit bir olay değildi. Bu hack işlemi, iki büyük saldırı ve yirmiden fazla küçük çaplı olayla sarsılan DeFi sektörü için acımasız bir ayı geride bıraktı. Monad'ın eski DeFi yöneticisi X'te yaptığı açıklamada, Nisan 2026'nın 30 günde gerçekleşen 28 olayda yaklaşık 635 milyon dolar kayıpla sonuçlandığını belirtti.
Ayın en büyük iki olayı şunlardı:
- Drift Protocol — 1 Nisan'da Solana tabanlı vadeli işlemler borsası, altı aylık bir hazırlık sürecinin ardından Kuzey Kore devlet bağlantılı bir operasyon olduğu bildirilen olayda, 15'ten fazla farklı token türünde yaklaşık 270 milyon dolarlık çıkış yaşadı.
- Kelp DAO — 18 Nisan'da Kuzey Kore devlet destekli olduğundan şüphelenilen bir saldırgan, LayerZero köprüsünü istismar ederek kaynak tarafta hiçbir varlık kilitli olmamasına rağmen 116.500 rsETH basılmasına olanak tanıyan sahte bir zincirler arası mesaj oluşturdu. Saldırgan daha sonra karşılıksız rsETH'leri teminat olarak Aave'ye yatırdı ve yaklaşık 236 milyon dolar değerinde gerçek WETH borç aldı.
Kelp olayına verilen yanıt, Kelp'in rsETH desteğini geri kazanmak için 300 milyon dolardan fazla kaynak sağlayan ve "DeFi United" olarak adlandırılan, DeFi protokolleri ile bireyler arasındaki eşi benzeri görülmemiş bir kolektif çabayı içeriyordu.
Yapay Zeka-Hacker Teorisi
Son dönemdeki saldırıların sıklığı ve hassasiyeti, saldırganların kullandığı araçlar hakkındaki tartışmaları yeniden alevlendirdi. Geliştirici Vitto Rivabella, Kuzey Kore'nin yıllarca çalınan DeFi verileri üzerinde kurum içi bir yapay zeka modeli eğittiğine dair bir teoriyi kamuoyuyla paylaştı ve bu modelin artık insan denetçilerin yama yapmasından daha hızlı bir şekilde protokolleri boşaltan otonom bir saldırgan olarak çalıştığını öne sürdü. Doğrulanmamış olsa da bu hipotez, güvenlik topluluğunda saldırganların protokol savunma ekiplerine karşı sahip olabileceği asimetrik avantaj konusundaki artan endişeyi yansıtmaktadır.
Kullanıcılar Şimdi Ne Yapmalı?
Güvenlik ekipleri, etkilenen bireyleri kritik bir ilk adım olarak protokolle ilişkili tüm akıllı sözleşme izinlerini iptal etmeye (revoke) çağırıyor. Revoke.cash gibi araçlar, güvenliği ihlal edilmiş sözleşmelere daha önce verilmiş olan erişimin kaldırılmasına yardımcı olabilir. Kullanıcılar şüpheli bağlantılarla veya resmi olmayan kurtarma programlarıyla etkileşime girmekten kaçınmalı ve yalnızca doğrulanmış resmi duyuruları takip etmelidir.
Yapay zekanın mevcut saldırı dalgasını hızlandırıp hızlandırmadığına bakılmaksızın, Wasabi olayı yapısal bir sorunu açıkça ortaya koyuyor: Zaman kilitleri veya çoklu imza kontrolleri olmayan tek anahtarlı yönetici mimarileri, bugün DeFi'deki en savunmasız açıklar arasında yer almaya devam ediyor.
Coinplurk.com tarafından yayınlanmıştır.
Bilgileri daha hızlı ve verimli sunmak için yapay zeka teknolojisinden yararlanıyoruz. Ancak tüm içerikler insan incelemesinden geçmektedir. Bu makalede veri hatası veya olgusal yanlışlık bulursanız lütfen [Makaleyi Bildir] butonu aracılığıyla redaksiyon ekibimize bildirin.
Published by Coinplurk.com
Yazar Hakkında
CoinPlurk News
Doğrulanmış YazarVerified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.
Diğer Yazılar
6Visa, Mastercard ve 140'tan fazla şirket Open USD stablecoin'ini piyasaya sürdü.
Visa, Mastercard, Stripe, Coinbase, BlackRock ve 140'tan fazla diğer şirketin oluşturduğu bir koalisyon, rezerv getirisini kullanan işletmelerle paylaşmak üzere tasarlanmış, dolara endeksli bir stablecoin olan Open USD'yi piyasaya sürdü.
FIFA, 2026 Dünya Kupası için Avalanche ile anlaştı; AVAX %8 yükseldi.
FIFA'nın 2026 Dünya Kupası biletleme, sadakat ve dijital koleksiyon altyapısını özel bir Avalanche blok zinciri üzerinde oluşturma kararı, AVAX'a bir aydaki en güçlü yükseliş sinyalini verdi; ancak analistler, sürdürülebilir talebin hala kanıtlanması gerektiğini söylüyor.
Mastercard, Yapay Zekâ Destekli Makine Hızında Ödemeler İçin AP4M’i Hayata Geçiriyor
Mastercard’ın yeni Agent Pay for Machines (AP4M) hizmeti, yapay zekâ ajanlarının kartlar, banka hesapları ve stablecoin'ler üzerinden yüksek frekanslı mikro ödemeleri otonom olarak yetkilendirmesine, organize etmesine ve kapatmasına olanak tanıyor — üstelik 30'dan fazla sektör ortağı şimdiden sürece dahil olmuş durumda.
Polymarket, 2030 Yılında Japonya'dan Onay Almayı Hedefliyor
Polymarket, Japonya'da yerel bir temsilci atadı ve 2030 yılını düzenleyici onay için hedef olarak belirledi; ancak ülkenin katı kumar yasaları ve küresel tahmin piyasası kısıtlamaları, ilerleyen süreci belirsiz hale getiriyor.
SpaceX IPO Dosyalaması 1,45 Milyar Dolarlık Bitcoin Hazinesini Ortaya Koyuyor
SpaceX'in Nasdaq'daki halka arzı öncesinde yaptığı önemli SEC bildirimi, 18.712 BTC tutarında ve 1,45 milyar dolar değerinde bir pozisyonunu açıkladı ve bu hava ve uzay şirketini bilinen en büyük kurumsal Bitcoin sahipleri arasında yerleştirdi.
Revolut'un İlk Fiziksel Kripto Kartı İngiltere ve EEA'da Kullanıma Sunuldu
Revolut, ilk fiziksel kripto kartını piyasaya sürdü — Dogecoin temalı, LED donanımlı ve Visa ile Mastercard'ın kabul edildiği her yerde geçerli bir kart — bu, fintech şirketinin dijital varlık harcamalarını günlük tüketici finansmanına taşımaya yönelik önemli bir adımını işaret ediyor.

İnteraktif Merkez
0 YanıtlarBu makale hakkında bir öneriniz, sorunuz veya yorum bırakmak istiyorsanız aşağıdaki tartışma bölümüne yazmaktan çekinmeyin.
Tartışmaya katılmak için lütfen giriş yapın
Şimdi Giriş YapHenüz yorum yok. İlk siz olun!