Sui blockchain ekosistemine büyük bir güvenlik ihlali gerçekleştirildi ve saldırganlar, networkün en büyük merkeziyetsiz borsası olan Cetus’taki likidite havuzlarından tahmini 200 milyon dolar aktardı.
İstismar, Sui ağı üzerinde onlarca token üzerinde geniş çaplı kayıplara yol açarak, yükselen Layer 1 platformlar üzerinde oracle tabanlı fiyat mekanizmalarının güvenliği konusunda endişeler tetikledi.
Saldırı, birçok Sui tabanlı tokenin ani şekilde satışa çıkmasına neden oldu. Lofi (LOFI), Sudeng (HIPPO) ve Squirtle (SQUIRT) gibi meme coin’ler neredeyse tamamen değer kaybetti, kayıplar bir saat içinde %76 ile %97 arasında değişti. Cetus’un kendi tokeni %53 düştü. DEX Screener’ın zincir üzerindeki analizleri, olay sonrası 24 saat içinde 46 Sui tokenin çift haneli kayıplar yaşadığını gösteriyor.
Token fiyatlarındaki bu keskin düşüşe ve temel altyapının belirgin zafiyetine rağmen, yerel SUI tokeni direnç gösterdi ve aynı zaman diliminde %2.2 artış göstererek, belki dipten alımlar ya da daha geniş piyasa hareketliliğinin etkisiyle ayakta kaldı.
Blockchain güvenlik firması Cyvers’a göre, saldırganlar, Cetus’un akıllı sözleşmelerindeki kusurları sömürerek süslü tokenlar tanıtıp, likidite havuz rezervlerini hatalı göstererek fiyat akışlarını bozacak şekilde bir oracle manipülasyon stratejisi uyguladı.
Cyvers CEO’su Deddy Lavid, “İstismar, DEX’in otomatik piyasa yapıcı (AMM) havuzlarında aldatıcı fiyat verileri oluşturan sahte tokenlara dayanıyordu,” dedi. “Bu manipülasyon, saldırganların SUI ve USDC gibi meşru varlıkları birden fazla likidite havuzundan çıkarmasına izin verdi.”
Olay, merkeziyetsiz finans (DeFi) içindeki bilinen bir riski vurguluyor: Fiyat verilerini sağlamak için zincir üzerindeki oracle’lere duyulan bağımlılık. Bu durumda, saldırgan geleneksel fiyat akış oracle’larına (örneğin Chainlink gibi) bağımlı olmak yerine, iç fiyat eğrilerini manipüle ederek daha derin bir mimari güvenlik açığını öneriyor.
Zincirler Arası Hareket: Gelirlerin Aklanması
İstismar sonrası, saldırgan çalınan fonları taşımaya başladı. Blockchain verileri, tahmini 61,5 milyon dolar USDC'nin hızla Ethereum'a köprülendiğini gösteriyor. Ayrıca 164 milyon dolar Sui tabanlı bir cüzdanda tutuluyor. Yayın tarihi itibariyle, hiç bir varlık geri alınmadı ve zincir üzerindeki dedektifler fon hareketlerini izlemeye devam ediyor.
Çalınan varlıkların USDC’ye dönüştürülmesi, aklama operasyonlarında stablecoinlerin devam eden önemini vurguluyor. Aynı zamanda, Circle ve Tether gibi stablecoin ihraççılarına, yasadışı elde edilen fonları dondurmada genellikle yavaş yanıt süreleri konusunda uzun süredir devam eden eleştirileri yeniden canlandırıyor.
Stablecoin İhraççıları Eleştiriliyor
ZachXBT ve Cyvers gibi sektör gözlemcileri, USDC ihraççısı Circle’ın yavaş yanıt verme hızları konusunda endişeler dile getirdiler. Şubat ayında Circle, Bybit istismarı ile bağlantılı fonları dondurmak için beş saatten fazla sürdü ve uzmanlar bu gecikmenin saldırganlar için kritik kaçış süresi sağladığına inanıyor. Tether ise, kötü niyetli hesapların dondurulmasındaki algılanan gecikmeler üzerine benzer incelemelerle karşı karşıya kaldı.
Lavid, “Birçok saldırıda olduğu gibi bu olayda da gerçek zamanlı bildirimler yaptık, ancak ihraççılardan gelen yanıtlar genellikle çok geç geliyor,” dedi. “Bu gecikme, sonradan yapılacak müdahaleleri anlamsız kılan sömürülebilir boşluklar oluşturur.”
Artan eleştiri, stablecoin’lere merkezi olmayan alternatifler arayışı ve acil durumlara insan gecikmelerini azaltabilecek otomatik dondurma mekanizmaları ihtiyacı konusunda yeni konular gündeme getiriyor.
Protokol Yanıtı ve Soruşturma
Cetus, saldırının tespit edilmesinin ardından akıllı sözleşmelerini hızla durdurma kararı aldı. Protokol, olayı sosyal medya aracılığıyla kamuoyuna duyurdu ve iç ekiplerinin adli bir soruşturma yürüttüğünü açıkladı.
Cetus’un Discord’undan sızan iç mesajlar, istismarın kök nedeninin oracle mantığında bir hata olabileceğini öne sürse de, sosyal medyadaki gözlemciler şüphelerini dile getirerek, AMM mantığında ve likidite havuzu mimarisindeki zafiyetlerin, sıklıkla oracle sorunları gibi görünmesiyle oracle hatalarını maskeliyor olabileceğini belirttiler.
Bir DeFi geliştiricisi, “Bu, geleneksel anlamda bir fiyat oracle hatası değildi,” dedi, anonim kalmak istedi. “Bu, bazı DEX’lerin ince işlem yapılan havuzlarda dahili token fiyatlarını hesaplamaları ile ilgili sistemik bir sorundur.”
Sui’nin Daha Geniş Ekosistemine Etkileri
Ex-Meta mühendisleri tarafından geliştirilen ve yüksek performanslı bir Ethereum alternatifi olarak konumlanan Layer 1 blockchain olan Sui, büyük bir ilgiyle başlatılmış ve geliştiriciler arasında Move programlama dili ve paralel işlem yürütme modeli ile ilgi çekmiştir.
Ancak bu istismar, DeFi yığınının olgunluğu konusunda şimdi soru işaretleri doğuruyor. Sui’nin temel protokolü istismar edilmemiş olsa da, DEX’ler gibi kritik uygulamalarda zafiyetin daha yeni zincirler için sistemik riskler teşkil ettiğini ortaya koyuyor.
Token fiyatlarının bu denli keskin düşmesi de kısıtlı likiditeyi ve yüksek perakende maruziyetini, olgunlaşmamış ekosistemlerin özelliklerini işaret ediyor. İyileşme, Cetus ve diğer ekosistem katılımcılarının güven ve likiditeyi ne kadar hızlı geri kazanabileceğine bağlı olabilir.
Topluluk ve Sektör Tepkisi
Binance Eski CEO'su Changpeng Zhao (CZ), sosyal medyada istismarı kabul etti ve ekibinin Sui’ye yardım etmek için ellerinden geleni yaptığını söyledi. Yorumdaki detay eksikliği, Binance’in izleme veya kurtarma çabalarına yardımcı olabileceğine işaret ediyor.
Geniş çaplı endüstri tepkisi, DeFi protokollerinde kontrolsüz büyümenin tehlikelerine odaklandı; güvenliğe yeterli yatırım yapılmadan likidite çekme ve kullanıcı hacmi peşinde koşmanın sıklıkla denetimsiz veya hafif denetlenmiş akıllı sözleşmelerin dağıtımına neden olduğunu belirtti.
Bir sektör yöneticisi, “Bu, ne Sui ne de Cetus’a özgü değil,” dedi. “Her Layer 1 ve DeFi dalgasında tekrar eden bir model - yenilik güvenlikten daha hızlı hareket eder ve kullanıcılar bedelini ağır öder.”
Düzenleyici ve Uzun Vadeli Sonuçlar
İstismar muhtemelen zincirler arası köprüler, DeFi protokolleri ve stablecoin işlemleri etrafında düzenleyici incelemeleri yeniden alevlendirecektir. Düzenleyici kurumlar, küresel olarak kripto için yeni çerçeveler tasarlamaya devam ederken, bu gibi yüksek profilli olaylar daha sıkı denetim için gerekçe sağlayabilir.
Ayrıca, DeFi’deki sigorta ve kullanıcı korumaları hakkında soruları yeniden canlandırıyor. İstismar tarafından etkilenmiş kullanıcılar için net bir çare olmadan, protokoller üzerinde zincir üzeri sigorta mekanizmalarını benimseme veya merkezi olmayan kurtarma fonlarına katkıda bulunma baskısı artabilir.
Bazı analistler, bu tür olayların, güvenlik ve oracle altyapısının daha sıkı kontrol edildiği appchain’lere ve daha dikey entegre DeFi ekosistemlerine geçişi hızlandırabileceğini savunuyor.
DeFi’de Tanıdık Bir Model
Oracle manipülasyonu, DeFi’de en kalıcı saldırı vektörlerinden biri olmaya devam ediyor. Benzer istismarlar, Ethereum, BNB Chain, Avalanche ve Solana’daki protokollerden milyonlarca akışını sağlamak için kullanıldı. Metotlar değişse de, prensip aynı kalır: Değer çıkarmak için fiyat keşfetme mekanizmalarını manipüle etmek.
Bu istismar, daha sağlam oracle sistemlerine, hem zincir üstü hem de zincir dışı verileri bir araya getiren hibrit modellere, manipülasyonu önlemek için hız sınırlama mekanizmalarına ve fiyat anomalileri tespit edildiğinde işlemleri durdurabilecek geniş çapta benimsenmiş devre kesicilere olan ihtiyacı vurguluyor.
Son düşünceler
Sui için önümüzdeki haftalar kritik olacak. Cetus ve diğer büyük ekosistem oyuncularının nasıl yanıt vereceği, geliştirici ve kullanıcı güveninin yeniden inşa edilip edilmeyeceğini büyük ölçüde belirleyecek. Likidite düşük kalırsa ve büyük projeler gelişimi durdurursa, zincir, diğer Layer 1’lerden gelen rekabetin artmasıyla momentumunu kaybetme riskiyle karşı karşıya.
Bu arada, daha geniş DeFi topluluğu, izinsiz sistemlerin sadece yenilik değil, disiplin de gerektirdiği konusunda bir kez daha hatırlatılıyor - özellikle akıllı sözleşme tasarımı, oracle güvenliği ve olay müdahale koordinasyonu söz konusu olduğunda.
Sui saldırısı, 2025 yılındaki oracle ile ilgili son istismar olmayabilir. Ancak endüstri, güvenliği ciddiye alarak ölçeklenmek istiyorsa, güvenliği bir art düşünce olarak ele almayı bırakmalı ve başlangıçtaki temel tasarım ilkesi olarak yerleştirmelidir.