Wasabi Protocol'den Büyük Vurgun, 4.55 Milyon Dolar Çalındı

Merkeziyetsiz finans (DeFi) ekosistemi, son dönemde artan güvenlik ihlalleriyle sarsılmaya devam ediyor. Bu zincire eklenen son halka ise Ethereum ve Base ağları üzerinde faaliyet gösteren sürekli vadeli işlemler platformu Wasabi Protocol oldu. Protokol, admin anahtarının ele geçirilmesi sonucu geçtiğimiz Perşembe günü yaklaşık 4.55 milyon dolarlık bir saldırıya maruz kaldı.

Kritik Açık: Yönetici Anahtarının Ele Geçirilmesi

Güvenlik firması Blockaid'in X platformunda yaptığı duyuruya göre, Wasabi Protocol'ün wasabideployer.eth adlı harici olarak sahip olunan hesap (EOA) olarak tanımlanan dağıtıcı anahtarı, saldırganlar tarafından tehlikeye atıldı. Bu anahtar, protokolün izin sisteminde tek ve mutlak “ADMIN_ROLE” yetkisine sahipti. EOA'lar, akıllı sözleşmelerden farklı olarak özel bir anahtarla kontrol edilen cüzdanlardır ve bu anahtarı elinde bulunduran kişi cüzdan üzerinde tam kontrole sahip olur. Saldırganlar, bu kritik anahtara erişim sağladıktan sonra, kendilerine gecikmeksizin yönetici ayrıcalıkları tanımak için izin sözleşmesindeki grantRole fonksiyonunu kullandı.

UUPS Yükseltme Mekanizması ve Vurgun

Yönetici yetkisini ele geçiren saldırganlar, Wasabi'nin sürekli vadeli işlem kasalarını (perp vaults) ve LongPool'unu kötü niyetli uygulamalarla yükseltmek için UUPS yükseltilebilirlik modelini kullandı. UUPS (Universal Upgradeable Proxy Standard), akıllı sözleşmelerin aynı adresi koruyarak temel kodlarını değiştirmelerine olanak tanıyan yaygın bir tasarım modelidir. Geliştiricilerin, kullanıcıları yeni bir sözleşmeye taşıma gereksinimi olmadan hataları düzeltmelerini sağlayan bu mekanizma, aynı zamanda yönetici izinlerinin bir saldırganın eline geçmesi durumunda, fonları çalmak üzere tasarlanmış kod da dahil olmak üzere sözleşmenin mantığını istedikleri her şeyle değiştirebilecekleri anlamına geliyor.

Güvenlik Zafiyetleri: Zaman Kilidi ve Çoklu İmza Eksikliği

Blockaid, Wasabi Protocol'de yönetici rolünü koruyan bir zaman kilidi (timelock) veya çoklu imza (multisig) mekanizması bulunmadığını belirtti. Zaman kilidi, bir yönetici eyleminin duyurulması ile gerçekleşmesi arasında bir gecikme süresi dayatarak kullanıcılara tepki verme şansı tanır. Çoklu imza ise bir değişikliğin onaylanması için birden fazla imzacının onayını gerektirir. Wasabi'nin bu güvenlik katmanlarından yoksun olması, tek bir anahtarın protokol üzerinde tam kontrole sahip olmasına yol açtı ve bu da saldırganların işini kolaylaştırdı.

Etkilenen Varlıklar ve Kullanıcılara Çağrı

Saldırıdan etkilenen sözleşmeler arasında Ethereum üzerindeki Wasabi'nin wWETH, sUSDC, wBITCOIN, wPEPE ve Long Pool kasaları ile Base ağı üzerindeki sUSDC, wWETH, sBTC, sVIRTUAL, sAERO ve sBRETT kasaları yer alıyor. Wasabi LP token sahiplerine, temel varlıklar ya boşaltıldığı ya da risk altında kaldığı için tüm aktif onaylarını kasa sözleşmelerinden iptal etmeleri tavsiye edildi.

Saldırılar Serisi: Benzerlikler ve Tekrarlayan Hatalar

Bu olay, 1 Nisan'da Solana tabanlı sürekli vadeli işlemler borsası Drift Protocol'den Kuzey Kore bağlantılı saldırganların 285 milyon doları ele geçirdiği ve 19 Nisan'da Kelp DAO'nun tek bir doğrulayıcı yapılandırması üzerinden 292 milyon dolar kaybettiği olaylarla benzerlik gösteriyor. 2026 yılı için kümülatif DeFi kaybı, 30'dan fazla rapor edilen olayda 770 milyon doları aşmış durumda ve Nisan ayı bu rakamın büyük bir kısmını oluşturuyor. Bu ay içinde CoW Swap (1.2 milyon dolar), Grinex (13.74 milyon dolar), Resolv Labs (23 milyon dolar) ve Volo Protocol (3.5 milyon dolar) gibi daha küçük çaplı ihlaller de yaşandı. Bu saldırıların ortak noktası, her bir olayın ardından "dersler çıkarıldı" açıklamalarının yapılmasına rağmen, bir sonraki sömürünün genellikle bu dersler uygulanmadan önce gelmesi. Wasabi Protocol ise olayla ilgili henüz resmi bir açıklama yapmadı.

Editör Yorumu:

Wasabi Protocol'e yönelik bu son saldırı, merkeziyetsiz finans (DeFi) alanında güvenlik açıklarının hala ciddi bir sorun teşkil ettiğini bir kez daha gözler önüne seriyor. Özellikle tek bir yönetici anahtarına aşırı yetki verilmesi ve bu yetkiyi koruyacak zaman kilidi veya çoklu imza gibi ek güvenlik katmanlarının olmaması, protokollere yönelik riskleri katbekat artırıyor. Geliştiricilerin pratik nedenlerle tercih ettiği UUPS gibi yükseltilebilirlik standartları, yanlış yapılandırıldığında veya yönetici anahtarları tehlikeye girdiğinde büyük felaketlere yol açabiliyor. Bu durum, DeFi projelerinin hızlı inovasyon ile sağlam güvenlik uygulamaları arasında denge kurma zorunluluğunu vurguluyor.

Nisan ayında yaşanan Drift Protocol ve Kelp DAO gibi büyük çaplı saldırılarla birlikte, Wasabi'deki bu kayıp, sektördeki güven algısını zayıflatabilir. Kullanıcılar ve yatırımcılar için, bir protokolün güvenlik mimarisini ve yönetişim yapısını anlamanın önemi giderek artıyor. Özellikle LP token sahiplerinin, olası bir saldırıda varlıklarını korumak adına aktif onaylarını düzenli olarak kontrol etmeleri ve gerektiğinde iptal etmeleri kritik önem taşıyor. Bu tür olaylar, yalnızca kayıplara değil, aynı zamanda yeni kullanıcıların DeFi'ye olan güvenini de zedeleyerek ekosistemin büyümesini yavaşlatma potansiyeli taşıyor.

Kısa vadede, bu tür güvenlik ihlalleri, düzenleyicilerin DeFi alanına yönelik incelemelerini yoğunlaştırması yönündeki baskıyı artırabilir. Uzun vadede ise, protokollerin daha sağlam güvenlik denetimlerinden geçmesi, çoklu imza ve zaman kilidi gibi mekanizmaları standart hale getirmesi ve topluluk odaklı yönetişim modellerini benimsemesi teşvik edilebilir. Wasabi'nin sessizliği, şeffaflık beklentisi olan bir sektörde olumsuz karşılanabilir ve projelerin kriz iletişimi stratejilerinin de ne kadar önemli olduğunu bir kez daha gösteriyor.

Editör Notu: Bu haber Bivizyoner editörleri tarafından bağımsız olarak hazırlanmış ve analiz edilmiştir.