28.04.2026 21:37

Ocak ayında Singularity_Fi’ın oracle’ında meydana gelen bir yanlış yapılandırma, internet kaynaklarından derlenen bilgilere göre Nisan ayına kadar 413.000 dolarlık kayba yol açtı. Protokol yöneticisi, 19 Ocak’ta altı adet getiri tokeni oracle yolu ekledi ve yanlışlıkla Uniswap V3 ücret dilimi olarak 42 değerini seçti. Uniswap V3 yalnızca dört geçerli ücret dilimini (100, 500, 3000 ve 10000) tanır; bu nedenle, geçersiz dilimle `factory.getPool()` fonksiyonuna yapılan her çağrı, DefimonAlerts’in X platformu üzerinden bildirdiği üzere sıfır adresi döndürdü.

Hatalı ücret dilimi sıfır havuz adresi ürettiğinden, Base üzerindeki vault’un fiyat beslemesi sessizce bozuldu; hiçbir hata fırlatılmadı, hiçbir uyarı tetiklenmedi ve vault, varlıklarının yaklaşık 100 dolarlık boşta USDC değerinde olduğu yanlış varsayımıyla çalışmaya devam etti. Vault’un elinde bulundurduğu gerçek getiri tokenleri oracle için fiilen görünmez haldeydi; WETH için yedek havuzlar mevcuttu ancak likidite içermiyordu.

Üç ay sonra bir saldırgan, Morpho’dan 100.000 USDC’yi flaş borçlanma yöntemiyle alıp bu fonları güvenliği ihlal edilmiş vault’a yatırarak gizli açığı sömürdü. Vault’un neredeyse boş olduğuna inanmaya devam eden oracle, saldırganın vault tokenlerinin neredeyse tüm arzını abartılı bir oranla basmasına izin verdi. Daha sonra itfa işlemi başlatıldığında, tokenler, oracle’ın hatalı verilerine bakılmaksızın vault’un gerçek bakiyelerine orantılı olarak temel varlıklarla değiştirildi. Bu süreç, vault’un getiri tokenlerini tamamen boşalttı ve yaklaşık 413.000 dolarlık toplam kayıpla sonuçlandı; ilgili işlem Basescan üzerinden incelenebilir. İlk ücret dilimi yapılandırma işlemi zincir üzerinde kalır, Ocak ayına ait zaman damgasına sahiptir; Singularity_Fi, Telegram üzerinden yaptığı duyuruyla ihlali kabul etti ve detaylı bir olay sonrası inceleme raporu sözü verdi.

Bu olay, endişe verici bir eğilimin parçasıdır: Nisan 2026’da kripto varlıklarıyla ilgili kayıplar şimdiden 620 milyon doları aştı, oracle yanlış yapılandırmaları ise yaygın bir saldırı vektörü olarak sıkça tekrar ediyor. Singularity_Fi açığının üzerinden yalnızca iki gün geçtikten sonra BNB Chain üzerinde ayrı bir olay daha yaşandı. DefimonAlerts, X üzerinden yaptığı uyarısında JUDAO’nun 464.000 dolarlık bir kayıp yaşadığını, farklı bir platformda aynı türde oracle hatası meydana geldiğini bildirdi. Her iki vaka da merkeziyetsiz finansta yanlış ücret dilimi ayarlarının ve yetersiz oracle güvenlik önlemlerinin oluşturduğu artan riski açıkça vurguluyor.