Bitcoin odaklı DeFi projesi Echo Protocol, büyük bir güvenlik ihlaliyle karşı karşıya kaldı. Saldırı, DeFi piyasasında son haftalarda art arda yaşanan açıkların ardından geldi. İlk bilgiler, olayın kripto topluluğunda DCF GOD olarak bilinen bir hesap tarafından X üzerinden duyurulmasıyla yayılmaya başladı.
On-chain verileri inceleyen güvenlik ekiplerine göre saldırgan, Monad ağı üzerinde yaklaşık 76,7 milyon dolar değerinde 1.000 eBTC bastı. Bu eBTC arzının gerçek bir teminata dayanmadığı belirtilirken, saldırının tam olarak hangi teknik açık üzerinden gerçekleştiği henüz netleşmedi. Uzmanlar, olayın özel anahtar ele geçirilmesi, dağıtım hatası veya akıllı sözleşme kaynaklı bir zayıflıktan kaynaklanmış olabileceğini değerlendiriyor.
Saldırganın daha sonra bu varlıkların bir kısmını Curvance üzerinden teminat olarak kullandığı aktarıldı. Paylaşılan verilere göre saldırgan, yaklaşık 3,45 milyon dolar değerindeki 45 eBTC’yi Curvance’a yatırdı ve bunun karşılığında 11,29 WBTC borç aldı. Bu miktarın saldırı anındaki değerinin yaklaşık 867 bin dolar olduğu belirtildi.
Ardından borç alınan WBTC’nin Ethereum ağına taşındığı, burada ETH’ye çevrildiği ve yaklaşık 385 ETH’nin Tornado Cash’e gönderildiği bildirildi. Tornado Cash, fonların izini gizlemek için kullanılan bir karıştırıcı hizmet olarak biliniyor. Bu nedenle söz konusu transfer, saldırganın elde ettiği varlıkları aklama girişimi olarak yorumlandı.
955 eBTC basıldı
Blockchain takip platformu Lookonchain’e göre saldırganın cüzdanında hâlâ yaklaşık 955 eBTC bulunuyor. Bu miktarın piyasa değerinin 73 milyon doların üzerinde olduğu ifade edildi. OnChain Lens de saldırganın hâlâ ciddi miktarda basılmış eBTC üzerinde kontrol sahibi göründüğünü belirtti.
Olayın ardından Monad ve Curvance cephesinden açıklamalar geldi. Monad kurucu ortağı Keone Hon, saldırının Monad ağının kendisini etkilemediğini ve ağın normal şekilde çalışmaya devam ettiğini duyurdu. Hon, güvenlik araştırmacılarının Echo Protocol’ün Monad üzerindeki eBTC varlığıyla ilgili olayı incelediğini de söyledi.
Curvance ise kendi akıllı sözleşmelerinde bir açık veya ele geçirilme belirtisi görülmediğini açıkladı. Protokol, etkilenen piyasanın tedbir amacıyla durdurulduğunu ve incelemenin ekosistem ortaklarıyla birlikte sürdüğünü bildirdi. Curvance ayrıca tamamen izole piyasa mimarisi sayesinde diğer piyasaların saldırıdan etkilenmediğini vurguladı.
Şirketin açıklamasına göre olay, Monad üzerindeki eBTC/WBTC piyasasıyla sınırlı kaldı. Aave, Morpho, Spark ve Fluid gibi büyük çaplı diğer DeFi platformlarının bu saldırıdan etkilenmediği aktarıldı. Bu açıklamalar, riskin daha geniş bir likidite krizine dönüşmediğini gösterse de olayın teknik ayrıntıları netleşene kadar piyasa tarafında temkinli hava devam ediyor.
ECHO fiyatı düşüşte
Saldırı haberinin ardından ECHO token sert satış baskısı gördü. Token fiyatı gün içinde yüzde 12’den fazla düşerek yaklaşık 0,0049 dolar seviyesine geriledi. Proje ekibi ise güvenlik olayını araştırdığını ve tüm cross-chain işlemlerin geçici olarak askıya alındığını duyurdu.
Echo Protocol saldırısı, DeFi piyasasında yalnızca birkaç gün içinde yaşanan üçüncü büyük güvenlik olayı oldu. Daha önce THORChain tarafında 10 milyon doların üzerinde fonun çalındığı, Verus-Ethereum Bridge saldırısında ise yaklaşık 11,5 milyon dolarlık varlığın ele geçirildiği açıklanmıştı. Bu olaylarla birlikte Mayıs ayında kayda geçen DeFi güvenlik ihlali sayısı 14’e yükseldi.
DeFiLlama verilerine göre DeFi sektörü, Echo saldırısından önce bile bu ay 13 farklı saldırıyla karşı karşıya kalmıştı. Son yıllarda özellikle lending protokolleri, cross-chain köprüler ve teminat piyasaları saldırganların ana hedefleri arasında yer alıyor. Sigortasız lending protokollerinde son altı yılda yaşanan toplam kaybın 7,7 milyar dolara yaklaştığı tahmin ediliyor.
Nisan ayında da Drift ve KelpDAO gibi projelerin öne çıktığı büyük saldırılarla birlikte DeFi ekosisteminde 600 milyon doların üzerinde kayıp yaşanmıştı. Nexus Mutual kurucusu Hugh Karp, son saldırıların önemli bir bölümünün operasyonel hatalardan kaynaklandığını belirterek risk yönetimi ile sigorta kapsamı arasında ciddi bir uyumsuzluk bulunduğuna dikkat çekmişti.
