Cetus Protokolü'nde 22 Mayıs 2025 tarihinde meydana gelen yıkıcı bir güvenlik ihlali, Sui blockchain üzerinde çalışan merkezsiz borsadan yaklaşık 260 milyon doların çalınmasına sebep oldu, bu yılın en büyük DeFi açıklarından birini işaretleyerek, ortaya çıkan blockchain ağlarının gerçekten merkezsiz olup olmadıklarına dair acil sorular uyandırdı.
Olay, yeni nesil blockchain platformlarında yatırımcı güvenini yeniden şekillendirebilecek hem akıllı sözleşme güvenliği hem de ağ yönetimi yapılarındaki kritik zayıflıkları ortaya çıkardı.
Cetus Protokolü istismarı, Mart ayında gerçekleşen 340 milyon dolarlık Wormhole köprü saldırısı ve Şubat'ta yaşanan 285 milyon dolarlık Euler Finans vakasının ardından 2025 yılındaki üçüncü en büyük merkeziyetsiz finans hackini temsil ediyor. İstismar, toplam kilitli değeri 800 milyon doları aşan protokolün otomatik piyasa yapıcı sözleşmelerindeki daha önce bilinmeyen bir zayıflıktan yararlanarak aynı anda birçok likidite havuzunu hedef aldı.
İlk adli analizler saldırının, protokolün standart güvenlik kontrollerini atlayan bir geri çağırma istismarıyla birleştirilmiş sofistike bir flaş kredi manipülasyonundan kaynaklandığını gösteriyor. Saldırganlar temel olarak SUI tokenları, USDC ve paketlenmiş Bitcoin gibi yüksek değerli varlıkları hedef alarak en az 12 farklı likidite havuzundan fonları çektiler. İşlem kayıtları, istismarın, protokolün mimarisini derinlemesine anlayan saldırganların koordineli işlemler serisi yoluyla 47 dakikalık bir pencere içinde yürütüldüğünü gösteriyor.
Blockchain güvenlik firması CertiK, istismarın fiyat orakl manipülasyonunu akıllı sözleşme mantığı kusurlarıyla birleştirerek, saldırganların varlık değerlerini yapay olarak şişirip, ardından büyük miktarlarda çekim yapmalarına olanak tanıyan yeni bir saldırı vektörü kullandığını bildiriyor. Saldırının karmaşıklığı, hem Sui'nin konsensüs mekanizması hem de Cetus Protokolü'nün belirli uygulama detayları konusunda bilgi sahibi deneyimli blockchain geliştiricilerinin katılımını öneriyor.
Acil Yanıt Merkezsizlik Tartışmasını Tetikliyor
Cetus Protokolü'nün ihlali tespit ettikten iki saat içinde tüm akıllı sözleşme işletimlerini durdurma acil yanıtı, Sui ağı yönetim yapısına yönelik incelemeleri yoğunlaştırdı. Protokolün, ilave kayıpların 150 milyon dolar civarında önlenmesinde başarılı olurken işlemleri tek taraflı olarak durdurabilme yeteneği, değişmez ve durdurulamaz finansal altyapıyı vurgulayan merkezsiz finansın temel prensipleriyle çelişiyor.
Acil durdurma, Ethereum'un 900.000'den fazla doğrulayıcısına kıyasla yalnızca 127 aktif doğrulayıcıdan oluşan Sui'nin doğrulayıcı ağı aracılığıyla gerçekleştirildi. Bu yoğunlaşmış doğrulama yapısı, hızlı karar almayı sağladı fakat potansiyel tek hata noktaları ve koordineli sansür yetenekleri hakkında endişeleri artırdı. Eleştirmenler böyle merkezi kontrol mekanizmalarının, blockchain teknolojisinin vaat ettiği güvenilir ya da güvene dayanmayan doğayı temelden zayıflattığını savunuyorlar.
Sui Ağı'nın, Move programlama dilini geliştiren eski Meta yöneticileri tarafından yönetilen vakıf ekibi, kullanıcı fonlarının korunması için acil önlemleri zaruri savundu. Ancak, tepkileri geleneksel finansal kurumların hesapları dondurma ve işlemleri tersine çevirme yetenekleriyle karşılaştırılarak, güvenlik ile merkezsizlik arasındaki, blockchain endüstrisinin zorlanmaya devam ettiği gerginliğin altını çiziyor.
Teknik Mimari Sisteme Dayalı Zayıflıkları Ortaya Çıkarıyor
Sui blockchain'in Narwhal-Bullshark adlı benzersiz konsensüs mekanizması, işlemleri geleneksel blockchain blokları yerine bir yönlü dairesel graf yapısı aracılığıyla işliyor. Bu tasarım, daha yüksek hacim ve daha düşük gecikmeyi mümkün kılarken, güvenlik araştırmacılarının hala keşfetmekte olduğu yeni saldırı yüzeyleri yaratıyor. Cetus Protokolü ihlali, konsensüs mekanizmasının ilgili işlemleri nasıl doğruladığına ilişkin zamanlamadaki tutarsızlıkları kullanarak birçok işlem partisi arasında durum değişikliklerini manipüle etti.
Güvenlik firması Quantstamp'in analizi, istismarın, akıllı sözleşmelerin hesap bakiyeleri yerine programlanabilir nesnelerle etkileşime girdiği Sui'nin nesne merkezli veri modelini kullandığını ortaya koydu. Bu yenilikçi yaklaşım, daha esnek akıllı sözleşme etkileşimlerini mümkün kılarken, Cetus Protokolü geliştiricilerinin yeterince güvence altına almadığı bir karmaşıklık getirdi. Saldırı, geleneksel erişim kontrollerini atlatan şekillerde nesne sahipliği transferlerini manipüle ederek, hesap tabanlı blockchain sistemleri için tasarlanmış güvenlik çerçevelerindeki boşlukları belirginleştirdi.
Olay, Sui ekosistemi genelinde acil güvenlik incelemelerini tetikledi ve en az 15 başka DeFi protokolü, kapsamlı güvenlik denetimleri beklenirken geçici olarak işlemleri durdurdu. Başlıca protokoller arasında Turbos Finance, Scallop Lend ve Kriya DEX, Cetus istismarından öğrenilen derslerle güvenlik firmalarının titiz kod incelemelerine tabi tutulmak amacıyla önlemci tedbirler uygulamıştır.
Yönetim Yapısı Yoğun İnceleme Altında
Sui Ağı'nın token dağılımı analizi, ağın hızlı yanıt verme ancak merkezsizlik güvenilirliğini tehlikeye atma olasılığını artıran önemli merkezsizlik endişelerini gözler önüne seriyor. Sui'nin geliştirilmesinin arkasındaki şirket Mysten Labs, toplam SUI token arzının yaklaşık %18'ini kontrol ederken, erken yatırımcılar ve geliştirme ekibi üyeleri ek %32'yi elinde bulunduruyor.
Sui Vakfı'nın yönetim çerçevesi yalnızca basit bir çoğunluk doğrulayıcı hisse gerektirerek protokol değişikliklerini uygular, daha yerleşmiş ağlardaki süper çoğunluk gereksinimlerinden önemli ölçüde daha düşüktür. Bu eşik, Cetus ihlali sırasında acil önlemlerin hızlı bir şekilde uygulanmasını sağladı, ancak az sayıda paydaş koalisyonunun ağ operasyonlarını potansiyel olarak kötü niyetli amaçlar için manipüle edebileceğini de gösteriyor.
Topluluk katılımı, önergeyle karşılık vermek amacıyla ağda aktif olan 180.000'den fazla adres olsa bile yakın zamanda yalnızca 2.400 benzersiz adres ile sınırlıdır. Bu düşük katılım oranı, finansmanın merkeziyetsiz yönetim iddialarının meşruiyeti hakkında sorular yaratarak, doğrulayıcılar ve geliştirme ekipleri tarafından etkin bir şekilde kontrol edildiğini öne sürüyor.
Tarihi Bağlam
Cetus Protokol olayı, 2025 yılında merkeziyetsiz protokollerden toplu olarak 2,8 milyar dolardan fazla çalınmasıyla sonuçlanan DeFi istismarlarının artan bir listesine katılıyor. Bununla birlikte, öncelikle Ethereum ve Binance Akıllı Zincir gibi oturmuş ağları hedef alan önceki olayların gişe hasılatından farklı olarak, bu ihlal, performans ve ölçeklenebilirlik vaat eden yeni blockchain mimarilerindeki benzersiz kırılganlıkları gözler önüne seriyor.
2016 yılında Ethereum üzerine yapılan DAO saldırısı, ağ fonlarının geri kazanılması için tartışmalı bir hard fork ile sonuçlanmış ve güvenlik krizleri sırasında köklü ağ müdahelelerine emsal oluşturmuştur. Ancak, o olay, haftalar süren daha geniş bir merkezsiz topluluk tartışmasını içerirken, Sui'nin hızlı ve merkezi yanıtının tam tersiydi. Sui'nin müdahale hızı, kullanıcı fonlarını korurken, daha sıkı merkezi karar almanın etkileri konusunda daha benzer ek tasarım kararları öneriyor olabilir.
MIT ve Stanford'dan yakın zamanda yayınlanan akademik araştırma, blockchain performans optimizasyonu ile gerçek merkezsizlik arasında ters bir ilişki olduğunu belgelemiştir, bu da Sug gibi yeni ağların teknik verimlilik ve yönetim merkezileşmesi arasında doğuştan gelen değişimler yaşayabileceğini öne sürmektedir. Cetus olayı, bu teorik kaygıların gerçek dünyadaki doğrulamasını sunar.
Piyasa Etkisi
Cetus Protokolü ihlali, Sui ekosisteminde ani piyasa tepkilerini tetikledi, SUI tokenı olay duyurusunu takip eden 24 saat içinde %23 düştü. Sui tabanlı DeFi protokollerinde kilitlenen toplam değer, güvenlik netleşmeleri beklenirken yatırımcıların fonlarını çekmesiyle 1,2 milyar dolardan 890 milyon dolara düştü. Etkisi, Aptos ve Solana gibi benzer katman-1 platformlarının sempatik satış gerçekleştirmesiyle diğer yeni nesil blockchain ağlarına da yayıldı.
Kurumsal yatırımcılar, son zamanlarda Sui tabanlı projelere tahsisatlarını artıran kurumlar, ortaya çıkan blockchain platformlarının risk profillerini yeniden değerlendirirken, Andreessen Horowitz gibi Sui'ye büyük yatırımcılar, sağlam güvenlik uygulamalarının önemine vurgu yaparak, ağın potansiyeline olan uzun vadeli güvenlerini sürdürüyor. Ancak birkaç kurumsal DeFi fonu, kapsamlı güvenlik incelemeleri beklenirken Sui ekosistemindeki projelere olan yeni yatırımları geçici olarak askıya aldı.
Olay ayrıca, Nexus Mutual ve InsurAce'in, Sui tabanlı protokol sigortası primlerini yükseltirken artan taleplere yanıt verdiği DeFi risklerini kapsayan sigorta protokollerine de etkisini gösterdi. Sigortacılar, deneysel DeFi protokollerini karşılayan yeni blockchain ağları için sigorta kapasitesi, risk-ödül profillerini yeniden değerlendirirken giderek sınırlı hale gelebilir.
Son Düşünceler
Cetus Protokolü ihlali, DeFi protokollerinin potansiyel sistemik riskler açısından zaten inceleme altına alan finansal düzenleyicilerden dikkat çekmiştir. Menkul Kıymetler ve Borsa Komisyonu'nun DeFi platformlarına karşı son yaptırımları kısmen, merkezsiz denildiği halde üzerinde merkezi kontrol sağlayan yönetim yapıları üzerine odaklanmıştır. Sui'nin hızlı müdahale yetenekleri, bu tür platformların geleneksel finansal altyapı olarak sınıflandırılması gerekip gerektiği konusuyla ilgili ek düzenleyici incelemeye davet edebilir.
Avrupa Birliği düzenleyicilerinin Kripto-Varlıklar Piyasaları (MiCA) düzenlemesini uygularken, merkezi yönetim, düzenleyici sınıflandırmanın belirlenmesinde bir anahtar faktör olarak tanımlandığı Cetus olayı, düzenleyici çerçeveleri hızlandırabilir. İçerik: gerçekten merkezi olmayan protokoller ile merkezi kontrol mekanizmalarına sahip olanlar arasında ayrım yapın; bu, yeni nesil blok zinciri ağlarının yönetim sistemlerini nasıl yapılandırdığını potansiyel olarak etkileyebilir.
Cetus Protokolü ihlali, Sui ekosistemi ve daha geniş blok zinciri endüstrisinin evrimi için kritik bir dönüm noktasını temsil ediyor. Olay önemli güvenlik açıklarını ortaya çıkarırken, aynı zamanda yeni nesil blok zinciri ağlarında güvenlik, performans ve merkeziyetsizliğin dengesini sağlama konusundaki pratik zorlukları da ortaya koydu. Topluluğun, güvenlik yeteneklerini korurken merkezileşme endişelerini ele alma konusundaki tepkisi, benzer platformların gelişim seyrini muhtemelen etkileyecektir.
Sui Ağı, doğrulayıcı gereksinimlerini artırma, yönetim tokenlerini daha geniş bir şekilde dağıtma ve acil müdahaleler için zaman gecikmelerini uygulama önerilerini içeren kapsamlı bir yönetim incelemesi yapmayı planladığını duyurdu. Ancak, Sui'yi rakiplerinden ayıran performans avantajlarını korurken anlamlı bir merkeziyetsizlik uygulamak, karmaşık bir teknik ve ekonomik zorluk olmaya devam ediyor.