gokgann
Aktif Üye
- 17 Ocak 2025
- 1,271
- 0
22 Mayıs’ta, Sui blokzincirinin en büyük merkeziyetsiz borsası ve likidite sağlayıcısı Cetus Protocol (CETUS), yaklaşık 260 milyon dolarlık büyük bir güvenlik ihlaline maruz kaldı. Bu saldırı, Sui ekosisteminde DeFi işlemlerinin aniden durmasına ve ekosistemde ciddi fiyat dalgalanmalarına yol açtı.
Saldırının Detayları ve Cetus’un Zayıf Noktaları
Cetus, 2023’te piyasaya sürülmesinden bu yana 62 binden fazla aktif kullanıcıya hizmet vererek günlük 7 milyon doları aşan işlem hacmi sağlıyordu. Ancak 22 Mayıs sabahı saat 03:52 (PT), SUI/USDC likidite havuzunda olağandışı hareketler tespit edildi. İlk başta 11 milyon dolarlık bir çıkış olarak görülen olay, hızla 260 milyon dolarlık büyük bir kayba dönüştü.
Saldırının temelinde Cetus’un fiyatlandırma mekanizmasını yöneten akıllı kontratlardaki “oracle” (fiyat beslemesi) yapısındaki zaafiyet vardı. Saldırgan, “0xe28b50” cüzdanından sahte BULLA tokenları gibi likiditesi gerçek olmayan tokenlar oluşturup fiyat eğrilerini ve rezervleri manipüle etti. Böylece değerli varlıklar olan SUI ve USDC’nin değeri olduğundan daha düşük gösterildi ve bu durumdan yararlanarak havuzlardan büyük miktarlarda gerçek token çekti.
Piyasaya Etkisi ve Token Fiyatlarındaki Çöküş
Sui’nun yerel tokeni SUI, 4.19 dolardan 3.62 dolara %14’ün üzerinde düşerken, Cetus tokeni CETUS ise 0.26 dolardan 0.15 dolara kadar geriledi. Ekosistemdeki birçok meme coin ve küçük tokenlar %51 ile %97 arasında değer kaybı yaşadı. Bazı tokenlar ise neredeyse sıfır seviyesine indi.
Sui’nun toplam kilitli değeri (TVL) ise 2.13 milyar dolardan 1.92 milyar dolara düştü, sadece saatler içinde milyarlarca dolarlık sermaye piyasadan çekildi.
Saldırının Teknik Analizi: Oracle Manipülasyonu
Cetus, fiyat beslemesini dışa bağımlılığı azaltmak için kendi iç oracle sistemini kullanıyordu. Ancak bu sistem, likiditesi olmayan tokenların havuzlara eklenmesine izin vererek hesaplama mekanizmasını bozdu. Akıllı kontratlardaki “addLiquidity”, “removeLiquidity” ve “swap” fonksiyonları, gerçek değeri olmayan tokenların fiyat hesaplarını manipüle etmesini engelleyemedi.
Bu yapı hatası, saldırganın sahte tokenlar karşılığında gerçek SUI ve USDC çekmesine olanak sağladı. Saldırı sırasında on-chain aktivite bir günde 320 milyon dolardan 2.9 milyar dolara fırladı.
Kriz Yönetimi ve Fonların Dondurulması
Cetus, saldırının fark edilmesinin ardından hızla işlem akışını durdurdu. Sui Vakfı, saldırganın adreslerini kara listeye aldı ve yaklaşık 162 milyon dolarlık çalınan fonu ağda dondurdu. Ancak saldırganın yaklaşık 60-63 milyon dolarlık USDC’si hızlıca Ethereum’a köprülenip ETH’ye çevrildi.
Cetus, çalınan ETH için 6 milyon dolarlık beyaz şapka ödülü teklif etti ancak henüz saldırgandan bir yanıt gelmedi. Güvenlik firmaları Hacken, PeckShield ve Inca Digital saldırının incelenmesi ve fonların geri alınması için çalışıyor.
Merkeziyetsizlik Tartışmaları
Sui ağı üzerindeki validatörlerin saldırganın fonlarını dondurmak için koordinasyon sağlaması, merkeziyetsizlik prensipleri üzerine tartışmaları da beraberinde getirdi. Bazı kullanıcılar, böyle bir müdahalenin ağ üzerindeki merkeziyetsizliği zedelediğini ve validatorların sansür uygulayabileceğini belirtiyor.
Cetus Protokolü’ndeki 260 milyon dolarlık hack, DeFi protokollerinde oracle ve likidite mekanizmalarının kritik önemini bir kez daha gözler önüne serdi. Sui ekosistemi için bu olay, güvenlik altyapılarının güçlendirilmesi ve merkeziyetsizlik ile güvenlik dengesinin yeniden değerlendirilmesi gerektiğini gösterdi.
