GANA Payment projesi, perşembe sabahı gerçekleşen bir saldırıyla 3,1 milyon dolardan fazla kayıp verdi. Zincir üstü analizleriyle tanınan araştırmacı ZachXBT, saldırganın fonları önce BNB Smart Chain’de topladığını, ardından hem BSC hem de Ethereum üzerinde Tornado Cash’i kullanarak gizlemeye başladığını açıkladı.
Hacker nasıl hareket etti?
Saldırgan ilk olarak ele geçirdiği varlıkları BSC’deki “0x2e8…e5c38” adresinde topladı. Burada fonların önemli bir bölümü BNB’ye çevrildi. Ardından 1.140 BNB, yaklaşık 1,04 milyon dolar değerinde, Tornado Cash’e gönderildi. Bu, saldırganın ilk aşamada izleri silme hamlesi oldu.
ZachXBT’ye göre kalan varlıklar Ethereum’a taşındı. Exploiter, bu kez 346,8 ETH’yi Tornado Cash’e yatırdı. Bu tutar yaklaşık 1,05 milyon dolara denk geliyor. Bunun dışında 346 ETH’nin daha, toplam değeri 1,046 milyon dolar civarında olan bir miktarın, Ethereum’daki “0x7a5…b3cca” adresinde hareketsiz durduğu belirtiliyor. Saldırganın bu fonları henüz karıştırmadığı, muhtemelen ikinci bir aşama için beklettiği düşünülüyor.
GANA fiyatı sert düştü
GANA Payment, BNB Smart Chain üzerinde faaliyet gösteren küçük ölçekli bir ödeme token projesi. BEP-20 standartlı GANA token etrafında kurulan proje, esas olarak DEX’ler ve likidite havuzları üzerinden işlem görüyor. Projeye ait kapsamlı bir teknik belge, kod inceleme raporu ya da denetim bulunmuyor. Bu nedenle saldırının hangi açıklıktan kaynaklandığı belirsizliğini koruyor.
Güvenlik tarafında yaşanan bu belirsizlik, fiyatlara sert biçimde yansıdı. GeckoTerminal verilerine göre GANA token birkaç saat içinde yüzde 90’dan fazla değer kaybetti. Likidite havuzlarının boşalması ve yatırımcıların panikle satışa yönelmesi, fiyatı neredeyse sıfırladı.
Bu saldırı, BNB Chain üzerinde bu yıl yaşanan dizi güvenlik olayına bir yenisini daha ekledi. DefiLlama’nın hack takibine göre, 2025 boyunca yalnızca orta ölçekli BSC projelerinde toplam kayıp 100 milyon doları aşmış durumda. Çoğu saldırının ortak noktası; güvenlik denetiminden geçmemiş kontratlar, zayıf erişim kontrolü, likidite havuzlarında kötü niyetli manipülasyonlar ve bazen de ekip içi anahtar sızmaları.
Örneğin kısa süre önce yaşanan Future Protocol olayı, benzer bir modelle gerçekleşmişti. Saldırganlar önce boşluğu tespit etmiş, ardından havuzları hızla boşaltmış, fonları birden fazla adrese dağıtmış ve son aşamada Tornado Cash’e karıştırmıştı. GANA Payment olayı da aynı zinciri takip ediyor: hızlı boşaltma, konsolidasyon, zincirler arası köprüleme ve karıştırıcıya gönderim.
BNB Chain’in yoğun kullanımına rağmen güvenlik açıklarının bu ölçekte yaygınlaşması, küçük projelerdeki denetim eksikliğini tekrar gündeme taşıyor. Uzmanlar, özellikle düşük bütçeli projelerin “minimum viable” mantığıyla hızla piyasaya çıkmasının, kötü niyetli aktörler için büyük fırsat yarattığını söylüyor.
