Arcadia Finance Hedefte: 3,5 Milyon Dolarlık DeFi Saldırısı

Merkeziyetsiz finans (DeFi) protokolü Arcadia Finance, Base blockchain üzerindeki "Rebalancer" akıllı sözleşmesinde tespit edilen bir güvenlik açığı nedeniyle yaklaşık 3,5 milyon dolarlık bir saldırıya uğradı. Bu olay, platformun geçtiğimiz yıl yaşadığı 455 bin dolarlık hack vakasının ardından ikinci büyük güvenlik ihlali olarak kayıtlara geçti.

Saldırı ilk olarak 15 Temmuz sabah saatlerinde blockchain güvenlik firması Certik tarafından tespit edildi. Certik, Base ağı üzerinde şüpheli işlemler tespit ettiklerini ve ilk aşamada saldırganın yaklaşık 1,6 milyon dolar değerinde varlık ele geçirdiğini duyurdu. Saatler ilerledikçe zararın boyutu büyüdü ve toplam kayıp 3,5 milyon dolara ulaştı.

Arcadia Finance saldırısının arkasında ne var?

Saldırının temelinde, Arcadia'nın "Rebalancer" isimli sözleşmesinde yer alan swapData parametresinin uygun şekilde doğrulanmaması yatıyor. Güvenlik firması Hacken’in açıklamasına göre, saldırganlar bu açığı kullanarak yetkisiz işlemler gerçekleştirdi ve kullanıcı kasalarındaki varlıkları boşalttı. Ele geçirilen varlıklar arasında 2,3 milyon USDC, 227 bin USDS, çeşitli miktarlarda WETH, EURC, AERO ve WELL tokenları yer alıyor.

Saldırgan, operasyonuna Ethereum ağında Tornado Cash üzerinden anonim şekilde fon aktararak başladı. Ardından bu fonlar Base ağına köprülenerek saldırı kontratı dağıtıldı ve saniyeler içinde sömürü işlemleri başlatıldı. Elde edilen kripto paralar, Wrapped Ethereum (WETH) formuna çevrilerek Ethereum ana ağına taşındı. Bu süreçte saldırgan 199 WETH ve yaklaşık 965 milyon AERO tokenı transfer etti. Söz konusu işlemler 12 farklı cüzdan adresine yayılarak iz sürülmesi zorlaştırıldı.

Arcadia Finance ekibi, sosyal medya platformu X üzerinden yaptığı açıklamada saldırıyı doğrulayarak kullanıcıları tüm “asset manager” izinlerini kaldırmaları konusunda uyardı. Ayrıca, Rebalancer ve Compounder bağlantılarının da derhal kesilmesini önerdi.

Bu son olay, DeFi sektöründeki güvenlik açıklarına dair endişeleri bir kez daha gündeme taşıdı. 2025 yılının ilk yarısında yalnızca 344 olayda toplamda 2,47 milyar dolar değerinde kayıp yaşandığı bildirildi. Bu kayıpların 1,7 milyar doları doğrudan cüzdan saldırılarından, 410 milyon doları ise oltalama (phishing) saldırılarından kaynaklandı.

Arcadia’nın Base ağı üzerindeki faaliyetleri, Coinbase Ventures gibi büyük yatırımcıların desteğiyle şekillenmişti.  Özellikle Base gibi kurumsal odaklı blockchain’lerin, JPMorgan ve Shopify gibi büyük isimlerle entegrasyon kurduğu bu dönemde yaşanan her saldırı, DeFi’nin kurumsal adaptasyonu açısından kritik önem taşıyor.