Merkeziyetsiz borsa toplayıcısı Matcha Meta, SwapNet entegrasyonunda yaşanan bir güvenlik ihlalinin ardından milyonlarca dolarlık varlık kaybı iddialarıyla gündeme geldi. Olay, pazar günü zincir üstü hareketlerin tespit edilmesiyle ortaya çıktı ve farklı güvenlik firmaları zararın büyüklüğüne ilişkin ayrı tahminler paylaştı. İlk bulgular, saldırganın Base ağı üzerindeki USDC varlıklarını Ethereum’a taşıdığına işaret etti. Proje ekibi ise kullanıcı fonlarının kapsamına ilişkin net bir tablo sunmadı.
SwapNet Entegrasyonunda Güvenlik İhlali Nasıl Ortaya Çıktı?
Zincir üstü analizlere dayanan ilk rapor, PeckShield tarafından paylaşıldı ve yaklaşık 16,8 milyon dolarlık bir varlığın izinsiz biçimde boşaltıldığı belirtildi. Verilere göre saldırgan, Base ağında 10,5 milyon dolarlık USDC’yi takas ederek yaklaşık 3.655 ETH elde etti ve ardından köprüleme işlemleriyle Ethereum ağına yöneldi. İşlemlerin kısa süre içinde gerçekleşmesi, otomatikleştirilmiş bir istismar senaryosuna işaret etti.
Farklı bir güvenlik şirketi olan CertiK, daha erken saatlerde yayımladığı değerlendirmede kaybı yaklaşık 13,3 milyon dolar olarak hesapladı. CertiK’e göre açık, SwapNet sözleşmesinde yer alan ve saldırgana yetkilendirilmiş fonları taşıma imkânı veren “arbitrary call” zafiyetinden kaynaklandı. İki rapor arasındaki rakam farkı, köprüleme sürecinde tespit edilen ek işlemlerden ve metodoloji farklılıklarından doğdu.
Matcha Meta, ilk açıklamasında yalnızca tek seferlik onay (One-Time Approval) özelliğini devre dışı bırakarak doğrudan sözleşme yetkilendirmesi veren kullanıcıların risk altında olduğunu savundu. Proje, tek seferlik onay kullanan hesapların etkilenmediğini belirtti ve saldırının kapsamını bu çerçevede sınırlı gösterdi.
Kullanıcı Yetkilendirmeleri ve Sektörel Etkiler
Olayın ardından Matcha Meta, incelemeleri 0x ekibiyle birlikte yürüttüğünü ve sorunun 0x’in AllowanceHolder ya da Settler sözleşmeleriyle bağlantılı olmadığını duyurdu. X platformunda yayımlanan açıklamada, bireysel toplayıcı sözleşmelerine doğrudan yetki vermenin kullanıcı açısından ek riskler barındırdığı vurgulandı. Bu yaklaşımın tekrar etmemesi adına, doğrudan yetkilendirme seçeneğinin sistemden kaldırıldığı ifade edildi.
Matcha Meta cephesinden yeni bir durum güncellemesi gelmezken, sektör genelinde artan saldırı dalgası endişeleri besliyor. Chainalysis verileri, 2025 yılında kripto para hırsızlıklarının toplamda 3,41 milyar doları aştığını ortaya koyuyor. Yalnızca Bybit’te yaşanan 1,5 milyar dolarlık tekil saldırı, yıllık kayıpların neredeyse yarısını oluşturdu.
Uzmanlara göre Matcha Meta vakası, kullanıcı deneyimini kolaylaştıran izin mekanizmalarının güvenlik mimarisiyle birlikte ele alınması gerektiğini bir kez daha gösterdi. Özellikle zincirler arası köprüleme ve toplayıcı sözleşmelerin yaygınlaşması, saldırı yüzeyini genişletirken, risklerin son kullanıcıya ne ölçüde yansıtıldığı tartışmasını da derinleştiriyor.
