Kripto Tarihindeki En Yıkıcı 10 Akıllı Sözleşme Açığı Nedir?

$14 milyar Bybit hack'i kritik UI güvenlik açıklarını ortaya çıkardı

Şubat 2025'te, Bybit, kripto para tarihinin en yıkıcı güvenlik ihlallerinden birini yaşadı ve hackerlar yaklaşık 1,4 milyar dolarlık Ethereum çaldı. Bu sofistike saldırı, sektörde yaygın olarak kullanılan Safe{Wallet} kullanıcı arayüzündeki kritik zafiyetleri hedef aldı. Saldırganların, Kuzey Kore'nin Lazarus Grubu olduğu düşünülüyor ve Bybit'in soğuk cüzdan operatörleri tarafından kullanılan Safe{Wallet} arayüzünü ele geçirdiler.

Saldırı metodolojisi, daha önce sağlam güvenlik protokolleri olarak kabul edilen yapılarda endişe verici zayıflıkları ortaya çıkardı. Bybit'in yetkili imzacıları, rutin işlemler olarak görünen onayları vermek için giriş yaptıklarında, ele geçirilmiş kullanıcı arayüzü verileri gerçek zamanlı olarak değiştirdi ve imzacıları, cüzdanlarının kontrolünü saldırganlara teslim eden kötü niyetli bir sözleşmeyi onaylamaya kandırdı.

| Saldırı Bileşenleri | Detaylar | |------------------|---------| | Hedef Sistem | Safe{Wallet} çoklu imza arayüzü | | Açıklık | Gerçek zamanlı UI veri manipülasyonu | | Yöntem | Kötü niyetli sözleşme ile imza değiştirme | | Çalınan Varlıklar | 401,347 ETH ($1.4 milyar) | | Dağıtım | 53 farklı cüzdan adresi |

İhlalin ardından, Bybit çalınan fonların %80'ini kapsayan bir köprü kredisi sağladı. Olay, Safe{Wallet} platformunda, işlemler gerçekleştirilmeden önce imzaların önerilen işlemlerle eşleşmesini sağlamak için yeni doğrulama kontrolleri de dahil olmak üzere önemli güvenlik güncellemelerini tetikledi.

39 Ethereum doğrulayıcısı, işletim hataları nedeniyle ceza aldı

10 Eylül 2025'te, Ethereum 2022'de proof-of-stake'a geçişinden bu yana en büyük koordineli slashing olaylarından birini yaşadı. SSV Ağı'na bağlı toplam 39 doğrulayıcı operasyonel hatalar nedeniyle ceza aldı. Bu nadir olay, giderek kalabalıklaşan staking ekosisteminde doğrulayıcı kötü yönetimi ile ilişkili potansiyel riskleri vurgulamaktadır.

Kesme işlemi kötü niyetli bir doğada değildi ve Ethereum'un protokolü ile de ilgili değildi, aksine dağıtılmış doğrulayıcı teknolojisi (DVT) protokolündeki operatör hatalarından kaynaklanıyordu. Etkilenen her bir doğrulayıcı yaklaşık 0.3 ETH ceza kaybetti ve toplam kayıplar 52,000 $'dan fazlasını buldu.

| Ceza Verme Bağlamı | Veri | |------------------|------| | Etkilenen doğrulayıcılar | 39 | | Bireysel kayıp | ~0.3 ETH | | Toplam doğrulayıcılar | 1.2 milyon+ | | Tarihsel bağlam | 2020'den bu yana 500'den az doğrulayıcı kesildi |

SSV Ağı, doğrulayıcı anahtarlarını birden fazla operatör arasında bölerek staking altyapısını merkeziyetsizleştirirken, kayıpları artıran çoğaltılmış doğrulayıcı kurulumlarına neden olan sorunlar yaşadı. Bu olay, Ethereum'un staking ekosistemi büyümeye devam ederken, doğrulayıcı yönetiminde operasyonel mükemmeliyetin kritik önemini vurgulamaktadır. Bu aksaklığa rağmen, genel ceza oranı oldukça düşük kalmakta; Beacon Chain'in 2020'de lansmanından bu yana 1.2 milyon doğrulayıcıdan 500'den azı ceza aldı.

Kiln'in kitlesel doğrulayıcı çıkışı ile 1.6 milyondan fazla ETH etkilendi

Ethereum ağı, önemli bir staking sağlayıcısı olan Kiln'in blockchain'den 1.6 milyon ETH'den fazla çekim yapmasıyla önemli bir sarsıntı geçiriyor. Bu devasa doğrulayıcı çıkışı, tüm stake edilmiş Ethereum'un yaklaşık %4.5'ini temsil ediyor ve çekilen ETH'nin değeri $690 milyonun üzerinde. Çekim, Kiln'in altyapısına özgü güvenlik endişeleri nedeniyle tetiklendi ve bu, SwissBorg'un stake edilmiş Solana varlıklarıyla ilgili bir olay sonucunda $40 milyon kayba yol açtı.

Kiln'in resmi açıklamasına göre, bu çıkış "staked varlıkların sürekliliğini sağlamak için tasarlanmış bir önlem"dir. Süreç, Ethereum'un protokol kuralları tarafından yönetilen düzenli bir şekilde gerçekleştirilmektedir ve beklenen tamamlama zaman çizelgeleri doğrulayıcı pozisyonuna göre değişiklik göstermektedir.

| Açı | Detaylar | |--------|---------| | Çekilen toplam ETH | 1.6 milyon ETH | | Tahmini değer | $690+ milyon | | Tüm stake edilmiş ETH'nin yüzdesi | 4.5% | | Beklenen çıkış zaman çerçevesi | 10-30 gün |

Kitlesel çıkış, Ethereum'un doğrulayıcı çıkış kuyruğunun dramatik bir şekilde şişmesine neden oldu ve toplam çıkış kuyruğu şimdi yaklaşık 11.3 milyar dolar değerinde ETH içermekte ve 44 günlük bir bekleme süresine ulaşmış durumda. Bu eşi benzeri görülmemiş tıkanıklık, büyük ölçekli unstaking olayları sırasında ağ güvenliği ve istikrarı hakkında sorular ortaya çıkarıyor, özellikle de onaylanması durumunda doğrulayıcı kuyruklarına ek olarak 4.7 milyon Ethereum token'ının dahil olabileceği potansiyel staked ETH ETF'leri etrafında beklentiler arttıkça.