SummerFi İstismarı: AI Mantık Hataları DeFi'nin Yeni Tehdidi
Köprü hackleri ve flaş kredi drenajları azalıyor, ancak yapay zekâ destekli bir DeFi protokolündeki tek bir mantık hatası artık altı zincire birden yayılabiliyor.
Her Zipp hikayesi #Exploit etiketiyle, en yenisi önce.
Köprü hackleri ve flaş kredi drenajları azalıyor, ancak yapay zekâ destekli bir DeFi protokolündeki tek bir mantık hatası artık altı zincire birden yayılabiliyor.
6 milyon dolarlık kayıp, protokolün TVL'sinin üçte birine denk geliyor; muhasebe mantığındaki kusur ve koruyucuların müdahalesinden önceki duraklatılmamış pencere, denetim şirketlerinin ve mevduat sahiplerinin eşit ilgiyle inceleyeceği konular olacak.
Merkeziyetsiz finans borç verme protokolü, 2025'te art arda hedef olan orta ölçekli DeFi platformlarına eklenen son istismarda 6 milyon doların biraz üzerinde kayıp yaşadı.
Saldırı, kurumsal düzeyde kasa altyapısı için özel olarak inşa edilmiş bir getiri toplayıcısını vuruyor ve DeFi'nin otomatik stratejilerinin arkasındaki güvenlik yığınına yeniden dikkat çekiyor.
Beş aydır uykuda olan bir cüzdanın tüm 21,4 milyon dolarlık SOL birikimini ETH'ye boşaltıp ardından bir mikser üzerinden geçirmesi, klasik bir sömürü sonrası temizlik operasyonu ve çalınan Solana'nın hâlâ bir çıkış yolu bulduğunun hatırlatıcısı.
Kurtarma olasılıklarının düşük olduğu belirtilirken, proje kimlik ve blok zinciri köklerinden uzaklaşıyor. Bu stratejik geri çekilme, hasarın ne kadar derin olduğunu gösteriyor.
Kötü borç yalnızca $403K tutarındaydı, ancak başarısızlık biçimi DeFi'nin bir türlü kurtulamadığı bir kalıptan geliyor: bu kez tokenize edilmiş bir Google hissesi üzerinden, fiyatın kendisini değil protokolün fiyata bakışını manipüle etmek.
Ethereum katman-2 rollup'u Taiko, yaklaşık 1,7 milyon dolarlık bir istismarla kayıp yaşadı; saldırgan, elinde 1,52 milyon dolarlık ETH tutarken 189 bin dolarlık TKO'yu çoktan MEXC'ye aktardı.
Bir zamanlar tek bir günde Ethereum gazının yüzde 7'sini tüketen aynı bot, dikkatsiz bir token onayını sömüren bir saldırgana sermayesini kaptırdı — MEV kârının bir kimlik avı tıkı kadar uzak olduğunu bir kez daha hatırlatan bir vaka.
Saldırgan tüm varlığı ETH'ye çevirip 1.000 ETH'yi saatler içinde Tornado Cash üzerinden yönlendirdi — klasik bir MEV operatörü çıkışı ve Ethereum'un mempool'unu kullanan botların artık hedefte olduğunu hatırlatan bir işaret.
Saldırı, akıllı kontrat açığından çok otomatik onay mantığını istismar etti — MEV çıkarmak için kurulan altyapının kendisinin de giderek daha değerli bir hedefe dönüştüğünü hatırlatan bir gelişme.
USDC'ye ve merkezi bir borsaya geçiş, klasik bir kara para aklama manevrası — ancak zincir üstü iz bu vakayı görünmez değil, takip edilebilir kılıyor.
Aztec Vakfı, ihlal edilen ürünün dört yıllık, değişmez bir aşama 2 rollup olduğunu ve mevcut ağ sözleşmeleriyle ya da AZTEC token'ıyla hiçbir bağlantısı bulunmadığını söylüyor — ancak ilgili bir doğrulama açığı az önce…
Sızan fonlar, Raydium'un 2021'de devre dışı bıraktığı eski AMM V3 programından geldi — mevcut UI kullanıcıları etkilenmedi, ancak istismar, eskiyen zincir üstü program yüzeylerinin hâlâ canlı bir saldırı yüzeyi olduğunu göstermiş oldu.
Raydium, Solana'nın en büyük merkeziyetsiz borsalarından biri, emekli bir otomatik piyasa yapıcı programını hedef alan…
Projeye bağlı 17'den fazla cüzdan, devam eden bir istismarda taranırken, zincir üstü takipçiler H tokeni ince likiditede çökerken toplam kaybı 31 milyon doların üzerinde işaretledi.
Saldırgan, çaldığı $H tokenlerini gerçek zamanlı olarak doğrudan $ETH'ye çeviriyor — akıllı kontrat açığını tokeni elinde tutan herkes için anında bir piyasa çöküşüne dönüştüren tipik bir çıkış likiditesi drenajı.
Saldırı 17 cüzdan üzerinden izlendi; H tokeni dolar bazlı kayıptan daha sert vuruldu — kurucunun doğruladığı özel anahtar ele geçirilmesi, saldırı vektörünün akıllı kontrat açığı değil, tek bir başarısızlık noktası olduğu anlamına geliyor.
Hayes, Zcash'in Orchard Pool'unda yıllar boyunca sessizce ZEC basımına teorik olarak izin verebilen yamasız bir kriptografik açığa dikkat çekti ve gizlilik odaklı coin anlatısının bu tür bir belirsizliğin…
Açık, tespit edilmeden sınırsız sahte ZEC basımına izin verebilirdi; yıllarca süren kriptografik incelemelerden sağ çıkmış olması, %30'luk düşüşten daha rahatsız edici bir okuma olarak öne çıkıyor.