145.000 Dolar Kayıp: Hacker’lar Merkl Üzerinden Doğrulanmamış DeFi Dolandırıcılığı Başlattı

Hacker’lar, merkeziyetsiz finans (DeFi) kullanıcılarını hedef almak için yeni bir yöntem buldu. Bu kez, her şeyin tek bir platformda toplandığı DeFi teşvik protokolü Merkl’ü kullanarak sahte ve doğrulanmamış kampanyalar oluşturup kullanıcı mevduatlarını boşalttılar. Dolandırıcılık, Euler protokolü aracılığıyla Sonic kullanıcılarını hedef aldı ve şimdiye kadar 145.000 dolardan fazla kayba yol açtı.

Hacker’lar Sahte Yüksek Getirili Kampanyalar Oluşturdu

DeFi kullanıcısı YAM’in aktardığına göre, kötü niyetli bir aktör Merkl’ün açık yapısından yararlanarak sahte kampanyalar başlattı. Bu kampanyalar, üç haneli yıllık getiri (APR) vaatleriyle dikkat çekiyordu. Dolandırıcılar, kullanıcıları USDC yatırmaları için görünüşte meşru bir Euler kasası gibi duran bir sayfaya yönlendirdi. Ancak kullanıcılar fonlarını yatırdıktan sonra saldırgan, bu fonların tamamını boşalttı.

Euler Finance, izin gerektirmeyen (permissionless) bir protokol olduğu için herkes onay almadan piyasa açabiliyor. Saldırgan da bu özelliği kullanarak sahte bir piyasa oluşturdu. scUSD adlı bir token’ı teminat olarak, USDC’yi ise borç varlığı olarak kullandı. Ardından, DeFi’de temel bir veri akışı olan oracle fiyatını manipüle ederek her token için fiyatı 1 milyon dolar gibi mantıksız bir seviyeye çıkardı. Bu sayede tek bir scUSD’ye karşılık 700.000 USDC borç alarak kasadaki fonların tamamını kontrolü altına aldı.

Dolandırıcılığın İşleyişi

Sahte piyasa oluşturulduktan sonra saldırgan, Merkl üzerinde doğrulanmamış bir kampanya başlattı. Bu kampanyada son derece yüksek getiriler vaat edilerek kullanıcı mevduatları çekildi. Kullanıcılar USDC yatırdığında, fonlar saldırgan tarafından ödünç alındı, ETH’ye çevrildi ve gizlilik protokolü RAILGUN Project’e aktarıldı.

Zincir üzerindeki veriler, saldırganın ana cüzdan adresinin 0x8ba913e… olduğunu, fonların daha sonra 0xa86399… adresine gönderilip RAILGUN’a aktarıldığını gösteriyor. İlginç bir şekilde, 0xc0f8fe… adresli bir kullanıcı, saldırgan kasayı boşaltmadan önce yatırdığı fonları çekmeyi başardı. Muhtemelen hacker o sırada kasayı aktif olarak izlemiyordu.

DeFi Topluluğundan Tepkiler

Olayın ortaya çıkmasının ardından YAM, kullanıcıları doğrulanmamış Merkl kampanyalarıyla etkileşime girerken dikkatli olmaları konusunda uyardı. Ayrıca Merkl ekibine, bu tür kampanyalara yatırım yapmayı zorlaştıracak şekilde daha güçlü uyarı pencereleri ekleme çağrısında bulundu.

Euler Labs’in kurucu ortağı ve CEO’su Michael Bentley, söz konusu kasanın açıkça “doğrulanmamış” olarak işaretlendiğini ve “güvenlik riski” etiketi taşıdığını doğruladı. Bentley, Euler web sitesinde doğrulanmamış kasalara yalnızca kullanıcıların riski manuel olarak kabul ettikten sonra erişilebildiğini belirtti. “Bu özel kasaya giden tüm bağlantıları kalıcı olarak engelliyoruz,” dedi Bentley.

Topluluk üyeleri ayrıca, DeFi kullanıcılarının bir piyasanın oracle’ının meşru olup olmadığını nasıl doğrulayabilecekleri konusunda sorular yöneltti. YAM, oracle’ların DeFi uygulamalarına gerçek dünya fiyat verilerini sağladığını ve genellikle piyasa küratörleri tarafından kontrol edildiğini açıkladı. Yanlış bir ondalık ayarı ya da güvensiz bir multisig yapılandırması gibi küçük hataların bile bu tür büyük açıkların kapısını aralayabileceğini vurguladı.

Daha Güçlü Güvenlik Önlemleri Çağrısı

Bu olay, DeFi ekosisteminde sıkça tartışılan bir sorunu yeniden gündeme getirdi: izin gerektirmeyen yenilik ile kullanıcı güvenliği arasındaki denge. Merkl ve Euler gibi platformlar herkesin özgürce piyasa oluşturmasına veya katılmasına izin veriyor. Ancak bu açıklık, saldırganlara da hareket alanı tanıyor. Projeler doğrulanmamış kampanyaları açıkça işaretlese de, dolandırıcılık vakalarının artması yalnızca uyarıların yeterli olmadığını gösteriyor.

Kullanıcılar artık zorunlu doğrulama kontrolleri veya ek onay adımları gibi koruyucu önlemlerin getirilmesini talep ediyor. Uzmanlar ise şimdilik, kullanıcıların yalnızca doğrulanmış kampanyalarla etkileşime girmesini ve fon yatırmadan önce akıllı sözleşme detaylarını dikkatle kontrol etmesini öneriyor. 145.000 dolarlık bu istismar, DeFi’nin açık yapısında bile en güçlü savunmanın hâlâ dikkatli davranmak olduğunu bir kez daha hatırlatıyor.