DeFi piyasası, bir yeni saldırı haberiyle daha sarsıldı. Sonic tabanlı merkeziyetsiz finans (DeFi) protokolü CrediX Finance, yayına girmesinden sadece birkaç hafta sonra, 4.5 milyon dolarlık bir siber saldırıya uğradı. Proje ekibi, kullanıcıları korumak adına platformu geçici olarak çevrimdışına aldı.
Kritik yetkilere sahip hesap ele geçirildi
4 Ağustos'ta blockchain güvenlik firması PeckShield, CrediX Finance'in yönetici hesabının saldırıya uğradığını açıkladı. Bu hesap, platformun en önemli yönetim yetkilerini elinde bulunduruyordu: Pool Admin, Bridge, Asset Listing Admin, Emergency Admin ve Risk Admin gibi bir dizi yüksek izin seviyesi bu hesaba tanımlanmıştı.
Saldırgan, özellikle Bridge (köprüleme) yetkisini kullanarak Sonic zincirinden Ethereum'a fon aktarmayı başardı. Bu işlem sırasında, varlık havuzlarından fonlar çalındı ya da yetkisiz şekilde ödünç alındı. Ayrıca, arkasında herhangi bir varlık bulunmayan sahte bir token olan acUSDC (Credix Market Sonic USDC) de basıldı. Toplamda platformdan yaklaşık 4.5 milyon dolarlık zarar meydana geldiği bildiriliyor.
Fonlar Ethereum ağına aktarıldı
Siber saldırıdan hemen sonra, blockchain güvenlik şirketi CertiK, çalınan fonların tamamının Sonic'ten Ethereum ağına bridge edildiğini ve şu anda üç farklı cüzdanda tutulduğunu doğruladı. Fonlar hâlâ saldırganın kontrolünde; transfer edilmiş olmalarına rağmen henüz başka bir cüzdana aktarılmadılar ya da bozdurulmadılar.
CrediX ekibi, olayın ardından X (eski adıyla Twitter) üzerinden yaptığı açıklamada, “Tüm kullanıcı fonları 24 ila 48 saat içerisinde eksiksiz olarak geri iade edilecek,” diyerek yatırımcıları sakinleştirmeye çalıştı. Ancak, bu açıklama yatırımcılar arasında karışık tepkilerle karşılandı. Zira DeFi sektöründe yaşanan bu tür olaylarda fonların tamamen geri getirilmesi oldukça nadir görülüyor.
2025’te multi-sig açıkları yükselişte
Bu saldırı, çoklu imza (multi-sig) cüzdanlara yönelik açıkların 2025’in ilk yarısında öne çıkan ana saldırı yöntemi haline gelmesiyle birlikte geldi. Yılın yalnızca ilk altı ayında DeFi sektöründe yaklaşık 3.1 milyar dolar değerinde kripto para, bu tür açıklar yoluyla çalındı.
CrediX Finance’in yaşadığı olay, sektörün henüz yeterince olgunlaşmadığını ve güvenlik konusunun hâlâ ciddi bir tehdit unsuru olduğunu bir kez daha gözler önüne serdi. Özellikle yeni başlatılan protokollerin hızlı büyüme ve kullanıcı kazanma hedefleriyle, güvenlik testlerini geri planda tutmaları sık sık bu tarz dramatik sonuçlara yol açabiliyor.
CrediX’in verdiği geri ödeme sözü, yatırımcıların umutlarını bir nebze olsun tazelerken, bu sürecin nasıl işleyeceği ve fonların gerçekten kurtarılıp kurtarılmayacağı belirsizliğini koruyor. Şu an için tek bilinen, saldırganın Ethereum üzerindeki cüzdanlarında fonların hâlâ tutulduğu ve henüz hareket ettirilmediği.
