Merkeziyetsiz borsa Balancer 2025'in en yıkıcı kripto saldırılarından birinin kurbanı oldu. Yedi blokzincir ağında yaklaşık $128 milyon çaldıkları karmaşık bir saldırıyla güvenlik denetimlerini atlatan saldırganlar, DeFi ekosisteminde şok dalgaları yarattı.
Saldırı, 3 Kasım'ın erken saatlerinde yaklaşık $70 milyon kayıpla başlamış göründü. Ancak saatler içinde PeckShield'teki güvenlik araştırmacıları, saldırının gerçek boyutunu ortaya çıkardı: Ethereum, Berachain, Arbitrum, Base, Sonic, Optimism ve Polygon ağlarında toplam $128.64 milyon çalındı.
Saldırganlar hızla hareket ederek 6,587 WETH değerinde $24.46 milyon, 6,851 osETH değerinde $26.86 milyon ve 4,260 wstETH değerinde $19.27 milyon yeni oluşturulan cüzdanlara aktardılar ve çalınan likit staking türevlerini Ethereum'a dönüştürmeye başladılar. Blockchain analiz platformu Lookonchain hackerların çalınan varlıkları hemen ETH'ye çevirmeye başladığını ve potansiyel olarak merkezi olmayan mixerler veya zincirler arası köprüler aracılığıyla aklanacakları endişelerini uyandırdığına dair rapor verdi.
Teknik Çözümleme: Saldırı Nasıl Gelişti
Saldırı, Balancer'ın V2 Kompoze Stable Havalı havuzlarındaki kritik bir zayıf noktayı hedef aldı, özellikle "manageUserBalance" fonksiyonu içinde. Güvenlik araştırmacılarına göre, hatalı erişim kontrolü, saldırganların yetkilendirmeden kaçınmasına ve yetkisiz iç bakiye transferlerini gerçekleştirmelerine izin verdi.
Zincir üzerindeki analist Adi, X'te şu açıklamayı yaptı: "Hatalı yetkilendirme ve geri çağrı işleme, saldırganın güvenlik tedbirlerini atlatmasına izin verdi. Bu durum yetkisiz döviz işlemleri veya birlikte çalışan havuzlar arasında bakiye manipülasyonlarına olanak sağladı." Protokolün kompozisyonel tasarımı, birden fazla havuzun ortak likidite ile sık etkileşime girdiği durumda, zayıflığı ve hackerların varlıkları birkaç dakikada hızlıca drenlemesine olanak sağladı.
Ethereum, en büyük kaybı yaşadı yaklaşık $99 milyon çalındı. Berachain $12.86 milyon kaybetti, bu da validatörlerini ağda acil bir hard fork gerçekleştirmeye ve ağı durdurmaya sevk etti kullanıcı fonlarını geri almak için. Arbitrum $6.86 milyon, Base $3.9 milyon, Sonic $3.44 milyon, Optimism $1.58 milyon ve Polygon $232,000 kaybetti.
StakeWise Hızlı Kurtarma Çabaları Başlattı
Kaosun ortasında nadir bir başarı hikayesi olarak, Ethereum likit staking protokolü olan StakeWise, çalınan fonların önemli kısımlarını kurtardığını duyurdu. Acil çoklu imza işlemleri kullanarak, StakeWise DAO yaklaşık değeri $19 milyon olan 5,041 osETH ve $1.7 milyon değerinde 13,495 osGNO'yu saldırgana ait cüzdandan geri aldı.
Kurtarılan miktar, saldırıda çalınan osETH'nin yaklaşık %73,5'ini ve osGNO tokenlerinin ise %100'ünü temsil ediyordu. StakeWise, kurtarılan fonların, kullanıcıların saldırı öncesindeki bakiyelerine göre, etkilenen kullanıcılara orantılı olarak iade edileceğini doğruladı. Tahmini $7 milyon değerindeki çalınan osETH'nin kalan %26,5'i saldırgan tarafından ETH'ye dönüştürülmüştü ve geri alınamadı.
StakeWise, yaptığı açıklamada, çekirdek akıllı sözleşmelerinin ve osETH tokenlerinin güvende olduğunu vurguladı, çünkü zayıflık yalnızca Balancer'ın alt yapısında bulunuyordu. Başarılı kurtarma, ETH'ye büyük miktarlarda fon dökülmesinin piyasayı korkuttuğu dönemde tokenin kısa vadeli fiyat görünümünü stabilize edebilir.
Denetim Paradoksu: 11 İnceleme Nasıl Kritik Bir Kusuru Gözden Kaçırdı?
Belki de Balancer'ın istismarındaki en kaygı verici durum, geniş güvenlik tedbirlerine rağmen gerçekleşmiş olmasıdır. Balancer'ın akıllı sözleşmeleri, OpenZeppelin, Trail of Bits, Certora ve ABDK gibi dört önde gelen güvenlik firması tarafından yapılan 11 kapsamlı denetimden geçti. En son stabil havuz denetimi, Eylül 2022'de Trail of Bits tarafından gerçekleştirilmişti.
Önde gelen bir Web3 geliştiricisi olan Suhail Kakar, Balancer'ın en önemli kasa sözleşmesi çeşitli bağımsız firmalarca incelenmiş olmasına rağmen protokolün yine de büyük bir ihlale maruz kaldığını kaydetti. Olay, kripto topluluğu içinde, geleneksel denetim modellerinin DeFi'deki hızla değişen tehdit yelpazesini yeterince ele alıp almadığı hakkında yeniden tartışmayı alevlendirdi.
Blokzincir adli bilişim firmalarından uzmanlar 2025'teki DeFi saldırılarının halihazırda $1 milyarı aştığını ve erişim kontrol hata- larının neredeyse %40'ını oluşturduğunu gözlemlemektedir. Balancer vakası, karmaşık ve birbirine bağlı DeFi sistemlerindeki ince zayıflıkları yakalamak için statik kod incelemelerinin yetersiz kalabileceğini öne sürmektedir.
Piyasa Etkisi ve Topluluk Tepkisi
Balancer'ın toplam kilitli değeri paniğe kapılan kullanıcıların fonlarını çekmeleriyle %46 düştü. Protokolün yerel BAL yönetişim belirteci, 24 saat içinde %8'den fazla düşüşle yaklaşık $0.91 seviyesine geriledi, ancak bazı kaynaklar daha mütevazı bir %5'lik düşüş rapor etmektedir.
Ethereum'un fiyatı da etkilendi ve ETH, öncesindeki değerlere göre %4-8 düşüşle 4 Kasım'da $3,629-$3,714 arasında işlem görüyordu. Satış dalgası, DeFi güvenlik açıkları ve birbirine bağlı protokoller arasında ek saldırı olasılığı hakkındaki piyasa belirsizliğini yansıttı.
Balancer, X'te yayımlanan bir açıklamada,
"Balancer v2 havuzlarını etkileyen olası bir sömürünün farkında olduklarını" belirtti.
Ekip, mühendislik ve güvenlik ekiplerinin bu durumu yüksek öncelikle araştırdıklarını
ve doğrulanmış güncellemeleri bilgi geldikçe paylaşacaklarını vurguladı.
Çalınan fonları kurtarmaya bir çaba olarak, Balancer çalınan varlıkların %20 beyaz-şapka ödülü — yaklaşık $25.6 milyon — teklif etti. Ekip, "ortaklarımız, erişim günlük meta verilerinden sizi tanımlama konusunda yüksek güven seviyesine sahipler" diyerek zincir üstünde yayımlanan bir mesajda hackerın işlemleriyle ilişkilendirilen IP adresleri ve zaman damgalarına atıfta bulundu.
Tarih Tekerrür Ediyor: Balancer'ın Sorunlu Güvenlik Geçmişi
Bu, Balancer'ın şimdiye kadarki en büyük güvenlik ihlali ancak ilk değil. Protokol, 2020'deki lansmanından bu yana yılda ortalama bir önemli ihlal olmak üzere en az altı büyük güvenlik olayı yaşadı.
Haziran 2020'de, Balancer $500,000 kaybetti bir flaş kredi saldırısıyla deflasyonist tokenler gibi Statera (STA) ele aldığı saldırıda. Ağustos 2023'te hackerlar yaklaşık $2.1 milyon drene etti V2 yükseltilmiş havuzlarından, sadece bir hafta sonra Balancer aynı havuzlardaki "kritik bir zayıf nokta" duyurmuştu.
Ertesi ay, Eylül 2023'te bir DNS kaçırma saldırısı kullanıcıları Balancer'ın meşru ön yüzünden bir kimlik avı sitesine yönlendirdi, $238,000 kayıpla sonuçlandı. Mart 2023'te Balancer, Euler Finance siber saldırısından dolaylı olarak etkilenerek protokolün bbeUSD havuzu $11.9 milyon kaybetti.
DeFi Güvenliği için Daha Geniş Sonuçlar
Balancer vakası merkeziyetsiz finans için kritik bir anda gerçekleşti. Chainalysis raporları sadece 2025'in ilk yarısında hackerlar tarafından $2 milyardan fazla kripto paranın çalındığını, Kuzey Kore tarafından desteklenen grupların bu toplamın tahminen $1.65 milyardan sorumlu olduğunu belirtmektedir.
Saldırı, DeFi protokollerinin karşılaştığı temel güvenlik zorlukları hakkında yenideni tartışma başlattı. Merkezi borsaların sahte işlemleri geri çevirebildiği veya hesapları dondurabildiği durumlarda, merkezi olmayan platformlar değişmez akıllı sözleşmeler üzerinde çalışır. İçerik: dağıtıldıktan sonra, güvenlik açıklarını yamalamak için kolayca değiştirilemeyen sözleşmeler.
Several blockchain networks took unprecedented action olaya yanıt olarak benzeri görülmemiş adımlar attı. Berachain doğrulayıcıları acil güncellemeler gerçekleştirmek için ağlarını durdurdu. Polygon doğrulayıcıları, hacker işlemlerini sansürledi. Sonic, hacker'ın hesabını dondurup sıfırlamak için işlevsellik tanıttı. Bu müdahaleler, kripto topluluğu içinde merkezsizleşme ilkeleri ve pratik güvenlik gereksinimleri arasındaki gerginlikle ilgili bir tartışmayı tetikledi.
Tanınmış kripto yorumcusu Haseeb, X platformunda gözlemledi ki, "daha küçük ekosistemler, 'kod yasadır' anlayışından ziyade güvenlik ve topluluk korunmasına öncelik vermeli" — bu, kripto endüstrisinin geleneksel etik değerlerine bir atıftır ve akıllı sözleşme sonuçlarının, istismarlar olsa bile, kesin ve geri alınamaz olması gerektiği anlayışını ifade eder.
Son düşünceler
Balancer için bu ihlal, kritik bir dönüm noktasını temsil ediyor. Protokol, geçmişteki fırtınaları atlatmıştı ve DeFi'nin önde gelen oyuncularından biri olarak konumunu korumaktaydı; yaklaşık 355 milyon dolar hala kilitli durumdaydı 4 Kasım itibarıyla dramatisteki düşüşe rağmen. Platform, aylık yaklaşık 2.81 milyar dolarlık ticaret hacmi işleyip, yıllık yaklaşık 10.7 milyon dolar gelir elde etmeye devam ediyor.
Ancak, 128 milyon dolarlık bir istismarın ardından kullanıcı güvenini yeniden inşa etmek, yalnızca teknik düzeltmelerden daha fazlasını gerektirecektir. Kripto topluluğu giderek daha fazla şeffaflık, kriz anlarında hızlı iletişim ve güvenlik açıklarının kapsamlı bir şekilde ele alındığına dair somut kanıtlar talep ediyor.
Sektör gözlemcileri, Balancer olayının DeFi protokollerine yönelik düzenleyici incelemeyi hızlandırmasını bekliyor, özellikle Amerika Birleşik Devletleri'nde, yetkililerin merkeziyetsiz finans denetimi için yeni çerçeveler geliştirdiği bir dönemde. Kapsamlı denetimlerin bu ihlali önlemekte yetersiz kalması gerçeği, düzenleyicilerin DeFi platformları için ek güvence mekanizmaları, sigorta mekanizmaları veya sorumluluk yapıları talep etmelerine yol açabilir.
Şimdilik, Balancer kullanıcıları pozisyonlarını sürdürüp sürdürmeyeceklerine veya daha güvenli alternatiflere çekilip çekilmeyeceklerine dair zor kararlarla karşı karşıya. Güvenlik araştırmacıları, güvenlik açığının tam kapsamını araştırmaya devam ederken, blok zinciri adli ekipleri çalınan fonları izlemek için kolluk kuvvetleriyle birlikte çalışıyor. Hacker'ın Balancer'ın beyaz şapka ödül teklifini kabul edip etmeyeceği veya fonları karıştırıcılar ve zincirler arası köprüler yoluyla başarıyla aklayıp aklamayacağı henüz belli değil.
Kesin olan şu ki, bu istismar, DeFi'nin çalkantılı tarihine bir başka uyarıcı bölüm ekledi ve hem geliştiricilere hem de kullanıcılara, kripto'nun öncü finansal sistemlerinde güvenliğin, teknolojinin kendisi kadar hızlı evrilmesi gerektiğini hatırlatıyor.