2025 yılında düşmanca aktörler, dijital varlık platformlarından toplam yaklaşık 2,2 milyar dolar değerinde varlığı boşaltan bir dizi yüksek etkili güvenlik olayını koordine etti. Listenin başında, Dubai merkezli Bybit, 21 Şubat'ta rekor bir 1,4 milyar dolarlık ihlale uğradı; saldırganlar Safe tabanlı multisig cüzdanlarındaki güvenlik açıklarını kullanarak yaklaşık 401.000 ETH'nin yetkisiz transferlerini onayladı. Soruşturmacılar, kök nedeni olarak ele geçirilmiş imzalama anahtarlarını ve iç cüzdan operatörlerinin kimlik avı yoluyla hedef alınmasını gösterdi; borsa çekim işlemlerini durdurdu, dahili bir soruşturma başlattı ve kullanıcı bakiyelerini korumayı taahhüt etti ve çalınan fonların izini sürmek için kolluk kuvvetleriyle koordineli hareket edeceğini belirtti.
Cetus, Sui üzerinde yoğun likiditeye sahip merkezi olmayan bir borsa olarak Mayıs'ta 223 milyon dolarlık bir istismar ile ikinci sıraya ulaştı. Saldırgan, likidite havuzlarına sahte tokenlar soktu, otomatik piyasa yapıcı mantığıyla fiyatları manipüle etti ve protokol ekipleri açığı yamayana kadar ve kayıpların bir kısmını beyaz şapkalı eylemlerle geri kazanmaya kadar değer elde etti.
Balancer V2, Kasım ayında birleşilebilir istikrarlı havuzlarındaki yuvarlama hatasına dayanan 128 milyon dolarlık bir istismar yaşadı; tekrarlanan depozito-çekme döngüleri muhasebe tutarsızlıklarından faydalanarak sorun tespit edilip giderilene kadar bu hatadan yararlandı.
Merkezileştirilmiş borsalar arasında Bitget, VOXEL piyasasında iç piyasa yapıcı botlarını öne geçirerek (front-run) zayıf likiditeyi istismar edip düşük riskli kazançlar elde ettikten sonra hazinenin boşalmasına yol açarak 100 milyon dolar kaybetti.
Phemex Ocak ayında 85 milyon dolarlık sıcak cüzdan ihlali kaydetti; bu, çekme yasağı ve anahtar rotasyonlarına yol açtı. İran'daki Nobitex Haziran'da sıcak cüzdanlardan 80 milyon doların eksik olduğunu bildirdi, Hindistan'daki CoinDCX ise Temmuz'da sunucu taraflı 44,2 milyon dolarlık bir ihlal açıkladı ve daha sonra içerden kimlik bilgisi kötüye kullanımıyla ilişkilendirildi. Merkeziyetsiz perpetual'lar platformu GMX, Arbitrum'daki v1 GLP havuzunda reentrancy tarzı bir güvenlik açığı yoluyla 42 milyon dolarlık bir istismar gördü; işlem durduruldu ve sözleşme düzeltmeleri uygulanana kadar minting devre dışı bırakıldı.
Yorumlar (0)