Büyük bir güvenlik açığı, Sui blokzincir ekosistemini etkileyerek, saldırganların ağın en büyük merkeziyetsiz borsası olan Cetus'un likidite havuzlarından tahmini 200 milyon doları sifonlamasına neden oldu.
İstismar, güvenlik endişelerini tetikleyerek Sui ağı üzerinde onlarca token üzerinden genel kayıplara neden oldu ve ortaya çıkan Layer 1 platformlarındaki oracle tabanlı fiyat mekanizmalarının güvenliği hakkındaki endişeleri artırdı.
Saldırı, birçok Sui tabanlı token üzerinde keskin bir satış dalgasını tetikledi. Lofi (LOFI), Sudeng (HIPPO) ve Squirtle (SQUIRT) gibi meme coinleri, yaklaşık bir saat içinde %76 ile %97 arasında değer kaybına uğrarken, Cetus'un kendi tokeni %53 düştü. DEX Screener'dan alınan zincir içi analizler, olay sonrası 24 saat içinde 46 Sui tokenin çift haneli kayıplar yaşadığını gösteriyor.
Bu keskin fiyat düşüşüne ve önemli altyapının görünüşteki güvenlik açığına rağmen, yerel SUI tokeni dayanıklılık göstererek, aynı zaman diliminde %2.2 oranında yükselmeyi başardı, muhtemelen dipten alımların ya da daha geniş piyasa ivmesinin etkisiyle.
Blokzincir güvenlik firması Cyvers'a göre, saldırganlar sofistike bir oracle manipülasyon stratejisi gerçekleştirdi. Cetus’un akıllı sözleşmelerindeki kusurlardan yararlanan saldırganlar, likidite havuzu rezervlerini yanlış temsil eden ve fiyat akışlarını bozan sahte tokenlar sundular.
Cyvers CEO'su Deddy Lavid, "İstismar, DEX’in otomatik piyasa yapıcı (AMM) havuzları içinde yanıltıcı fiyat verileri oluşturan sahte tokenlara dayanıyordu," dedi. "Bu manipülasyon, saldırganların SUI ve USDC gibi meşru varlıkları birden fazla likidite havuzundan çıkarmasına izin verdi."
Olay, merkeziyetsiz finansın (DeFi) iyi bilinen bir riskini vurguluyor: fiyat verilerini sağlamak için zincir üzeri oraclelara bağımlılık. Bu durumda, saldırgan geleneksel fiyat akışı oracle sistemleri olan Chainlink gibi sistemlere bağımlı olmadan iç fiyat eğrilerini manipüle edebilmiştir, bu da daha derin bir mimari zayıflığı işaret ediyor.
Zincirler Arası Hareket: Kazançların Aklanması
İstismar sonrasında saldırgan çalınan fonları hareket ettirmeye başladı. Blokzincir verileri, yaklaşık 61.5 milyon dolarlık USDC'nin hızla Ethereum'a aktarıldığını gösteriyor. Ayrıca, 164 milyon dolar daha Sui tabanlı bir cüzdan içinde tutulmaya devam ediyor. Yayın tarihine kadar hiçbir varlık geri alınamamıştı ve zincir üzeri dedektifler fonların hareketini izlemeye devam ediyor.
Çalınan varlıkların USDC'ye çevrilmesi, aklama operasyonlarında stablecoinlerin süregelen önemini vurguluyor. Ayrıca, Circle ve Tether gibi stablecoin ihraççılarına karşı elde edilen hileli varlıkların dondurulmasında sık sık yavaş olan tepkileri ile ilgili uzun süredir devam eden eleştirileri yeniden alevlendirdi.
Stablecoin İhraççıları Ateş Altında
ZachXBT ve Cyvers gibi sektör gözetmenleri, USDC ihraççısı Circle'ın yavaş tepki süresi konusundaki endişelerini dile getirdi. Şubat ayında Circle, Bybit istismarı ile bağlantılı fonları dondurmak için beş saatten fazla bir süre almış, uzmanların saldırganların kaçış için kritik bir zaman dilimi sağladığına inandıkları bir gecikme yaşanmıştır. Tether, kötü niyetli hesapların dondurulmasındaki algılanan gecikmeler nedeniyle benzer incelemelere maruz kaldı.
"Bu dahil birçok saldırıda gerçek zamanlı uyarılar yayınladık, ancak ihraççılardan gelen tepkiler çoğu zaman çok geç kaldı," dedi Lavid. "Bu gecikme, post-mortem müdahaleleri anlamsız kılan açıklar yaratmaktadır."
Büyüyen eleştiriler, stablecoinlere merkeziyetsiz alternatifler ve acil durumlarda insan gecikmesini azaltabilecek otomatik dondurma mekanizmaları ihtiyaçları hakkında yeni tartışmaları tetikliyor.
Protokol Tepkisi ve Soruşturma
Cetus, saldırıyı tespit ettikten sonra akıllı sözleşmelerini durdurmak için hızlı hareket etti. Protokol, olayı sosyal medya aracılığıyla kamuya duyurdu ve iç ekiplerin adli bir soruşturma yürüttüğünü açıkladı.
Cetus’un Discord'undan sızan iç mesajlar, istismarın kökeninin oracle mantığındaki bir hata olabileceğini öne sürüyor. Ancak sosyal medyada gözlemciler, AMM mantığı ve likidite havuzu mimarisindeki güvenlik açıklarının genellikle oracle problemleri gibi görünebileceğini belirterek şüpheci olduklarını ifade etti.
Anonim kalmak isteyen bir DeFi geliştiricisi, "Bu geleneksel anlamda bir fiyat oracle hatası değildi," dedi. "Bazı DEX'lerin ince ticaret havuzlarında iç token fiyatlarını nasıl hesapladığına ilişkin sistemik bir sorun."
Sui'nin Daha Geniş Ekosistemi İçin Etkileri
Eskiden Meta mühendisleri tarafından geliştirilen bir Layer 1 blokzinciri olan Sui, kendisini Ethereum'a yüksek performanslı bir alternatif olarak konumlandırdı. Önemli bir tanıtımla piyasaya sürüldü ve geliştiriciler arasında Move programlama dili ve paralel işlem yürütme modelleri nedeniyle popülerlik kazandı.
Ancak, bu istismar şimdi DeFi altyapısının olgunluğu hakkında soruları gündeme getiriyor. Sui’nin temel protokolü tehlikeye girmemiş olsa da, bu saldırı DEX gibi kritik uygulamalardaki güvenlik açıklarının, daha yeni zincirler için sistemik riskler oluşturabileceğini ortaya koyuyor.
Token fiyatlarının bu kadar keskin düşmesi ayrıca sınırlı likiditeyi ve yüksek perakende maruziyeti, olgunlaşmamış ekosistemlerin ayırt edici özelliklerini işaret ediyor. Kurtarma, Cetus ve diğer ekosistem katılımcılarının güveni ve likiditeyi ne kadar hızlı yeniden inşa edebileceğine bağlı olabilir.
Topluluk ve Sektör Tepkisi
Eski Binance CEO'su Changpeng Zhao (CZ), sosyal medyada saldırıyı kabul ederek, ekibinin "Sui'ye yardım etmek için ellerinden geleni yaptıklarını" söyledi. Yorum, ayrıntılardan yoksun olsa da, Binance'in izleme veya kurtarma çabalarına yardım edebileceğini göstermektedir.
Daha geniş endüstri tepkisi, güvenliğe karşılık gelmeyen kontrolsüz DeFi protokollerinin büyümesinin tehlikelerine odaklandı. Analistler, likidite ve kullanıcı hacmi çekme telaşının, denetlenmemiş veya hafifçe denetlenmiş akıllı sözleşmelerin konuşlandırılmasına çoğu zaman yol açtığını belirtiyorlar.
Bir endüstri yöneticisi, "Bu Sui veya Cetus'a özgü değil," dedi. "Her Layer 1 ve DeFi dalgasında tekrarlayan bir model - inovasyon güvenlikten daha hızlı ilerler ve kullanıcılar bunun bedelini öder."
Düzenleyici ve Uzun Vadeli Sonuçlar
İstismar muhtemelen zincirler arası köprüler, DeFi protokolleri ve stablecoin işlemleri konusunda düzenleyici incelemeyi yeniden alevlendirecek. Küresel olarak düzenleyici organlar kripto için yeni çerçeveler tasarlamaya devam ederken, bu tür yüksek profilli olaylar daha sıkı gözetim için gerekçe sağlıyor.
Ayrıca, DeFi'de sigorta ve kullanıcı korumaları hakkında soruları yeniden gündeme getiriyor. Etkilenen kullanıcılar için net bir başvuru yolu olmadan, protokollerin zincir üzeri sigorta mekanizmalarını benimsemesi ya da merkeziyetsiz kurtarma fonlarına katkı sağlamaları yönünde baskılar artabilir.
Bazı analistler, bu tür olayların güvenlik ve oracle altyapısının daha sıkı kontrol edildiği dikey olarak entegre DeFi ekosistemlerine ve appchainlere kayma eğilimini hızlandırabileceğini savunuyor.
DeFi'de Tanıdık Bir Model
Oracle manipülasyonu, DeFi'de en kalıcı saldırı vektörlerinden biri olarak kalmaktadır. BNB Chain, Avalanche ve Solana'daki protokollerden milyonlarca para çıkarmak için benzer istismarlar kullanılmıştır. Yöntem değişebilir, ancak prensip aynı kalır: değer elde etmek için fiyat keşif mekanizmalarını manipüle et.
Bu istismar, daha sağlam oracle sistemlerine, zincir üzeri ve dışında verileri içeren karma modellere, manipülasyonu önlemek için hız sınırlama mekanizmalarına ve fiyat anormalliklerinin tespit edildiğinde işlemleri durduracak devre kesici kullanımına yönelik daha geniş kabullenmeye ihtiyaç olduğunu vurguluyor.
Son düşünceler
Sui için önümüzdeki haftalar kritik olacaktır. Cetus ve diğer önemli ekosistem oyuncularının nasıl yanıt vereceği, muhtemelen geliştirici ve kullanıcı güveninin yeniden inşa edilip edilemeyeceğini belirleyecektir. Likidite düşük kalırsa ve büyük projeler geliştirmeyi durdurursa, zincir, rekabet diğer Layer 1'lerden gelen rekabetin daha da yoğunlaştığı sırada ivme kaybetme riskiyle karşı karşıya kalabilir.
Bu arada, daha geniş DeFi topluluğu bir kez daha hatırlatılıyor ki izin gerektirmeyen sistemler sadece yenilik değil, aynı zamanda disiplin - özellikle akıllı sözleşme tasarımı, oracle güvenliği ve olay yanıtı koordinasyonunda - de talep ediyor.
Sui saldırısı belki 2025'in oracle ile ilgili son istismarı olmayabilir. Ancak endüstri gerçekten güvenli bir şekilde ölçeklenmek istiyorsa, güvenliği bir sonradan düşünce olarak görmekten vazgeçmeli ve en baştan ana tasarım ilkesi olarak gömmelidir.