2026 yılının Mayıs ayının sonlarında yayımlanan bir güvenlik uyarısına göre, Ethereum ve Base ağlarını hedef alan bir açık nedeniyle toplamda 3,2 milyon dolar değerindeki kripto para kısa sürede çalındı. Bu olayda, “SquidRouterModule” isimli bir akıllı kontratta tespit edilen güvenlik zafiyeti suçlandı. Ortalama olarak iki saat içinde gerçekleşen bu hırsızlık, ilgili toplulukta büyük bir kafa karışıklığına neden oldu.
Saldırı Yöntemi ve Güvenlik Açıkları
PeckShield ve Blockaid gibi önemli güvenlik kuruluşları, bu güvenlik ihlallerini çabucak tespit etti. PeckShield tarafından sunulan rapora göre, saldırganlar önce TornadoCash aracılığıyla 2,1 ETH temin etti. Daha sonra çaldıkları bu varlıkları Uniswap V3 havuzlarında yaklaşık 3 milyon DAI token‘ına dönüştürdüler.
PeckShield raporunda, saldırganın SquidRouterModule açığını kullanarak yaklaşık 3 milyon dolarlık varlığı önce DAI’ye çevirdiği, çalınan fonların ise 0xA447 ile başlayan cüzdanda tutulduğu belirtildi.
Blockaid’in yaptığı incelemelere göre, kısa sürede 86 Gnosis Safe cüzdanı tehdit altına girdi. Pek çok kullanıcının bu tür kontratlara önceden ek yetki verdiği için, herhangi bir imza gerektirmeden işlem yapılabilmesi saldırının başarısında önemli bir faktör oldu.
SquidRouterModule Ağıyla İlgili Teknik Detaylar
Bu olayın arkasında, Gnosis Safe cüzdanları için üçüncü taraf bir geliştirici tarafından oluşturulmuş bir modülün tasarımı yatıyor. “SquidRouterModule” adlı akıllı kontrat, bir güvenlik testi olarak herkese açık bir dizeyi kabul ediyordu.
Söz konusu modül, güvenilir bir Safe Modül olarak beyaz listeye alındığından, saldırganlar Gnosis Safe cüzdanlarından istedikleri miktarda varlık çekmeyi başardılar. Oysaki ismi geçen resmi Squid Router kontratı bu güvenlik açığından etkilenmedi.
Squid Router Ekibinden Açıklama
Meydana gelen karmaşanın ardından, Squid Router’ın resmi hesabından bir açıklama yapıldı. Bu modülün Squid ekibi tarafından geliştirilmediği ve yönetilmediği açıklandı. Aksi takdirde üçüncü taraf bir sağlayıcıdan geldiği belirtildi.
Açıklamada, Squid temel protokolünün veya ona bağlı kontratların güvenlik açığıyla bir ilgisinin bulunmadığı altı çizildi. Ayrıca tüm Squid kullanıcılarının ya da entegre hizmetlerin risk altında olmadığı ifade edildi.
Binance Kurucusu’ndan Güvenlik Uyarısı
Son zamanlarda artan tedarik zinciri güvenlik açıklarına dikkat çeken Binance‘in kurucusu Changpeng Zhao, bu olayların ardından geliştiricilere önemli önerilerde bulundu. Kullanıcılar ve geliştiricilerden API anahtarlarını gözden geçirmeleri ve gerektiğinde değiştirmeleri istendi.
Geliştiricilerin ticaret botları ve merkeziyetsiz finans uygulamaları gibi alanlarda kod içinde saklanan bu anahtarları düzenli olarak kontrol edip yenilemelerinin önemi vurgulandı. Özellikle özel depolarda saklanıyor olsalar bile risk teşkil ettikleri hatırlatıldı.
