Merkeziyetsiz borsa toplayıcısı Matcha Meta, SwapNet entegrasyonundaki güvenlik ihlali sonrası büyük meblağda varlık kaybıyla gündemde. Bu durum, pazar günü zincir üstü analizlerle tespit edilen hareketlerle ortaya çıktı. Çeşitli güvenlik firmaları, zararın büyüklüğüne dair farklı tahminler paylaştı. Saldırgan, Base ağı üzerinden Ethereum’a USDC taşıdı. Proje ekibi, kullanıcı fonlarının durumu hakkında tam bilgi vermedi.
Güvenlik İhlalinin Tespiti
İlk rapor,
PeckShield
tarafından yayınlandı. Rapor, izinsiz olarak yaklaşık 16,8 milyon dolarlık bir varlığın boşaltıldığını gösterdi. Saldırgan, Base ağında 10,5 milyon dolarlık USDC’yi takas ederek 3.655 ETH elde etti. Hızla gerçekleşen işlemler otomatik bir istismar senaryosuna işaret ediyor.
Diğer bir güvenlik firması
CertiK
, kaybı 13,3 milyon dolar olarak hesapladı. Bu tahmine göre güvenlik açığı, ‘arbitrary call’ zafiyetinden kaynaklandı. İki rapor arasındaki rakam farkları metodoloji ve ek işlemlerden ileri geliyor.
Matcha Meta, ilk değerlendirmesinde “Tek Seferlik Onay” özelliğinin devre dışı bırakıldığını ve yalnızca doğrudan yetkilendirme veren kullanıcıların risk altında olduğunu duyurdu. Bu açıklama, saldırının kapsamını sınırlı olarak işaret ediyor.
Kullanıcı Etkileri ve Güvenlik Önlemleri
Olayın ardından Matcha Meta,
0x
ekibiyle sorunu incelemeye başladı. Açıklamada, doğrudan yetki vermenin kullanıcılar için ek risk taşıdığı belirtildi. Bu nedenle, doğrudan yetkilendirme sistemden kaldırıldı.
Yeni bir güncelleme gelmemesine rağmen, kripto sektöründe artan saldırı dalgası endişe yaratıyor.
Chainalysis
verileri, 2025 yılında kripto hırsızlıklarının 3,41 milyar doları aştığını tespit etti.
Uzmanlar, Matcha Meta vakasının izin mekanizmalarının güvenlik mimarisiyle uyumlu olması gerektiğine dikkat çekiyor. Özellikle zincirler arası köprüleme gibi işlemler, saldırı riskini artırırken, kullanıcıların bu duruma ne kadar maruz kaldığı sorgulanıyor.
