Kripto para piyasasında dalgalanmaya yol açan büyük bir siber saldırı, Resolv Labs’ın stablecoin’i USR’nin sabit değerini kaybetmesine neden oldu. Merkezsiz finans protokollerinde ortaya çıkan açıklar, yapılan çok sayıda denetime rağmen sistemin kırılabilir olduğunu bir kez daha gösterdi.
Saldırı Nasıl Gerçekleşti?
Merkeziyetsiz finans projeleri geliştiren ve kripto varlık piyasasında kısa sürede bilinen Resolv Labs’ın geliştirdiği USR, bu saldırı sonrasında değer kaybetti. Zincir üzerindeki veriler, saldırganın yaklaşık 200 bin dolarlık USDC yatırımıyla manipülasyona başladığını ortaya koyuyor. Bu küçük sermaye ile 80 milyon adet USR üretildi; üstelik bu tokenlar sistemde yeterli karşılık bulunmadan yaratılmış oldu.
Saldırının, protokoldeki minting (basım) süreçlerindeki ciddi bir eksiklikten kaynaklandığı anlaşıldı. Kodun “requestSwap” ve “completeSwap” işlevlerinde yer alan güvenlik açığının, saldırganın korumalardan sıyrılıp sistemdeki açık limiti kendi lehine kullanmasına zemin hazırladığı aktarılıyor.
Resolv Labs ekibi, saldırı sonrası sistemdeki tüm işlemleri durdurduklarını ve iyileştirme çalışmaları başlattıklarını kamuoyuna iletti.
Sistemi Çökerten Strateji ve Fiyat Krizi
Saldırgan, üretmiş olduğu USR’leri doğrudan piyasada satmak yerine, “wstUSR” adı verilen, likidite havuzlarında farklı şekilde işleyen stakelenmiş biçime çevirdi. Bu hamle sayesinde piyasada likiditeyi bozabileceği platformlar arasında tokenlarını farklı biçimlerde kademeli olarak dolaşıma soktu.
Daha sonra bu varlıklardan stablecoin ve Ethereum’a geçiş yaptı. Olayın ardından saldırganın yaklaşık 11.400 Ethereum’a ve 20 milyon wstUSR’ye ulaşan bir pozisyon elde ettiği görülüyor.
Yoğun token satışı ve sınırlı likidite, kısa sürede USR fiyatının yüzde 80’e yakın bir düşüşle yaklaşık 0,05 dolara gerilemesine yol açtı. Fiyat üzerindeki bu sert kayıp, kullanıcıların güvenini ciddi oranda sarstı ve sistemin istikrarı hakkında endişe doğurdu.
Denetimler Açıkları Kapatamadı
Resolv Labs’ın saldırı öncesinde 18 farklı denetime tabi tutulduğu ve ilgili akıllı sözleşmenin de birçok kez kontrol edildiği biliniyor. 2024 yılının Aralık ayında yapılan denetimlerde beş farklı sorun not edilmiş, bunlardan biri, ücret hesaplama fonksiyonunda yüksek seviyede kritik hata olarak işaretlenmişti. Ayrıca, bazı fonksiyonlarda “üst limit kontrolü eksikliği” de tespit edildi ancak saldırının gerçekleştiği merkezi kontrol fonksiyonunda herhangi bir güvenlik riski belirtilmemişti.
Yapılan değerlendirmelerde, güvenilir rollere ait yetkili fonksiyonların çoğu kez denetimin kapsamı dışında bırakıldığı ve merkezi kontrol yapılarında bu tip açıklara dikkat edilmediği öne çıktı.
Uzmanlar, denetim süreçlerinin kodların doğruluğuna odaklandığını, fakat merkezi yetkilere sahip fonksiyonların sistemsel risk oluşturabileceğinin çoğunlukla gözden kaçtığını belirtiyor.
Yedekler Güvende Ancak Belirsizlik Sürüyor
Saldırı sonrası protokol tamamen durdurulmuş durumda. İlk bulgular, sisteme ait rezerve edilmiş teminat havuzlarında kullanıcı fonlarının zarar görmediğini gösteriyor. Yani USR arzı saldırı ile manipüle edilirken, depolanan varlıkların şimdilik etkilenmediği anlaşıldı.
Ancak USR fiyatındaki büyük kayıp ve yaşanan güven sorunları, Resolv Labs’ın üzerine yeni bir kriz ortamı getirdi. Gelişmelerin protokol yönetimi ve kullanıcı güveni açısından nasıl sonuçlanacağı ise yakından takip ediliyor.
