30.04.2026 11:10

Wasabi Protokolü yöneticisi anahtarının bir ihlalinden dolayı 4,5 milyon dolarlık bir kayıp yaşadı. Blockaid tarafından X üzerinden duyurulan bu gelişme, merkezi finans (DeFi) platformlarının sürekli olarak hedef alındığını ve DeFi'nin son bir ayda neredeyse 605 milyon dolarlık kayıp vermesine katkıda bulunduğunu ortaya koymaktadır. Wasabi Protokolü, en yüksek risk taşıyan mağdurlardan biri olacak.

Bu felaket, Wasabi Protokolü yöneticisi anahtarına yetkisiz bir hacker tarafından erişilmesinin ardından yaşandı. Ethereum ekosistemindeki yaygın güvenlik katmanlarını ve Base'i aşan hacker, wasabideployer.eth olarak bilinen bir dışsal sahibi hesap (EOA) kullanarak jaringanın tek ADMIN_ROLE'ünü ele geçirdi. Bu tür bir cüzdan, özel bir anahtarın güvencesinde olduğu için anahtar sahibinin tam kontrolüne tabidir. Saldırgan erişim elde ettikten sonra, hızla bir fonksiyonu çağırarak izin sözleşmesine grantRole yetkisi vermesini sağladı ve böylece insan tepki süresinin çok ötesinde tam idari kontrolü ele geçirdi.

Kontrolünü pekiştirmek ve nihai finansal hırsızlığı gerçekleştirmek için, Wasabi'nin perp kasaları ve LongPool'deki yükseltme yeteneğini UUPS (Unified Upgradeable Proxy Standard) kullanarak istismalde bulundu. UUPS, akıllı sözleşmenin kod tabanını koruyarak adresini değiştirerek sorunsuz bir şekilde değiştirmeyi sağlayan tanınmış bir mekanizmadır. Bu, geliştiricilerin hataları düzeltmek için token sahiplerini yerinden etmek istemeden hata düzeltmeleri yapmak için değerli bir araçtır. Ancak, aynı özellik, yetki sahibi ya da diğer herhangi bir yetki sahibi olduğu takdirde, önemli bir zafiyet haline gelir. UUPS'in istismarı, sadece hata düzeltmeleri değil, aynı zamanda akıllı sözleşmenin kodunun tamamen değiştirilmesini de mümkün kıldı. Bu kod, tokenleri vakum etmek üzere tasarlanmıştı.

Blockaid'in titiz izleme sistemi, Wasabi Protokolü'nün Ethereum ve Base platformlarında sürdürülen bir saldırısını tespit etti. Wasabi EOA aracılığıyla ilk olarak sağlanan idari yetkilerin yavaş yavaş sözleşmenin işlevselliğini değiştirmesi ve kötü niyetli uygulamalar aracılığıyla fon hırsızlığı yapılması yönünde geliştiği dikkat çekicidir. Bu anlatı, tek bir anahtarın zafiyetinin neden olduğu zincirleme etkileri ve bunun tüm ekosistem üzerindeki derin etkilerini açıklar.

Özetle, Wasabi Saldırısı, özellikle izin sisteminde tek bir noktada kontrolün merkeze alındığı DeFi platformlarındaki zafiyetleri gözler önüne seren soğuk bir hatırlatmadır. Mevcut güvenlik önlemlerindeki boşlukları değil, aynı zamanda bir hata noktası başarısızlığının tüm dijital ekosistem üzerindeki potansiyel yıkıcı etkilerini aydınlatır.