30.04.2026 22:46

Önemli bir güvenlik ihlali gerçekleşti, Wasabi Protokolü’nden dört farklı blokzincir—Ethereum, Base, Blast ve Berachain — üzerinden toplam 5.5 milyon doları aşıyor. Saldırı, protokolün altyapısını kullansa da, araştırmacıların derinlemesine incelemeleri, akıllı sözleşme kodunda herhangi bir hata olmadığını doğruladı; sorumlu kişi, ihlal edilen bir dağıtımcı cüzdanıydı.

Güvenlik araştırmacıları olayı hızla tanımladı, para transferlerinin hızlı gerçekleştiğini ve her zincirde aynı yürütme deseni gördüğünü belirtti. Bu olay, kripto topluluğunda artan tartışmayı beraberinde getirdi ve kod dışı zayıflıkların—özellikle merkezi yönetim becerisine aşırı güvenin—büyük kayıplara yol açabileceğini vurguladı.

Saldırının merkezi unsuru, @wasabi_protocol’un yönetici anahtarının yetkisiz olarak ele geçirilmesiydi. Saldırgan, ilk olarak dinamik düğümler ağa yöneten ana rolü ele geçiriyor, ardından `grantRole` kullanarak kötü niyetli bir sözleşmeye tam yönetici hakları veriyordu. Bu hamle, sistemin süre gecikmesi korumasını atlayarak rol atamalarının zaman kilidi olmadan gerçekleşmesini sağladı.

Artmış ayrıcalıklarla, saldırgan, her bir hazinenin `strategyDeposit` fonksiyonunu ardışık olarak çağıran bir düzenleyici sözleşme (orchestrator) dağıttı. Yönetici modifikörleri—özgü yetkisiz kullanıcıları kilitleme amaçlı—geçersiz kılındığından, saldırgan varlıkları doğrudan harici sahipli hesaplara çekerek protokolden milyonlarca doları topladı.

Olay, süper güvenli akıllı sözleşme mimarilerinin bile, yönetimin aşırı merkezi kaldığı ve anahtar yönetiminin zayıf tutulduğu durumlarda savunmasız olabileceğini hatırlatıyor.