Katman-2 Ethereum Ölçekleme Çözümünde Güvenlik Krizi
15 Nisan 2025 tarihinde, popüler Katman-2 çözümü zkSync büyük bir güvenlik ihlaliyle sarsıldı. Bu olay, protokolün airdrop sürecini yöneten yönetici cüzdanının kötü niyetli kişilerce ele geçirilmesi sonucu gerçekleşti. Saldırganlar, “sweepUnclaimed()” adlı akıllı sözleşme fonksiyonunu istismar ederek toplamda 111 milyon ZK token bastı ve yaklaşık 5 milyon dolar değerinde varlığı zimmetine geçirdi. Bu tutar, toplam ZK arzının yaklaşık %0,45’ine denk gelmektedir.
Olayın ardından zkSync ekibi, hızlıca güvenlik ortağı SEAL ile ortak hareket ederek müdahalede bulundu. Ekipten yapılan resmi açıklamada, saldırının yalnızca yönetici cüzdan ile sınırlı olduğu ve kullanıcı fonlarının doğrudan etkilenmediği vurgulandı. Ayrıca, airdrop’a ait sözleşmeler detaylıca denetlendi ve “sweepUnclaimed()” fonksiyonu kalıcı olarak devre dışı bırakıldı.
Durumun fark edilmesinin ardından, ZK token fiyatında kısa süreli bir düşüş yaşandı. Token fiyatı %18 oranında gerileyerek 0,040 dolar seviyesine indi. Ancak, gün içerisinde toparlanma göstererek 0,046–0,047 dolar aralığında işlem görmeye devam etti. Bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliği ve airdrop mekanizmalarının şeffaflığı konularını yeniden gündeme taşıdı.
Hacker ile Uzlaşı ve Geri Ödeme Süreci
Ancak, yaşanan bu güvenlik açığı ve saldırı sonrası beklenmedik bir gelişme yaşandı. zkSync ekibi, saldırganla iletişime geçerek “bounty” (ödül) teklifinde bulundu. Bu teklif, saldırganın çaldığı varlıkların %90’ını iade etmesi karşılığında sunuldu. Saldırgan, bu teklifi kabul etti ve 23 Nisan’da üç ayrı işlem halinde ZKsync Güvenlik Konseyi cüzdanına geri gönderdiği toplam varlıklar sayesinde olayın çözümüne katkıda bulundu.
Saldırgan, kalan kısmı ise “beyaz şapkalı” etiketiyle ödül olarak aldı. Geri alınan toplam varlıkların değeri, ETH ve ZK fiyatlarındaki artışlar sayesinde, olay sırasında kaybedilen miktardan bile daha yüksek seviyeye ulaştı. Bu gelişme, saldırgan ve ekip arasındaki bu alışverişin, etik hack ve kriz yönetimi açısından dikkat çekici bir örnek teşkil ettiğini gösteriyor.
Son Durum ve Toplumsal Yansımalar
zkSync ekibi, olayla ilgili detaylı bir teknik rapor hazırlamakta olduğunu ve yakın zamanda toplulukla paylaşacaklarını duyurdu. Topluluklar tarafından, ekibin şeffaf iletişimi ve kriz yönetimi sayesinde büyük bir güven krizinin önüne geçildiği düşünülüyor. Ayrıca, fonların geri alınması ve saldırganla uzlaşı yolunun tercih edilmesi, benzer olayların yaşanması durumunda alınabilecek önemli bir model olarak görülüyor.
Ancak, bu olay, merkeziyetçi yapıların ve açık kaynaklı finans sistemlerinin ek riskler barındırdığını da gözler önüne serdi. Güvenlik açıklarının ve yönetici erişiminin dikkatli yönetilmesi gerektiği bir kez daha kanıtlandı. Bu süreç, kripto para ve blockchain projelerinin güvenlik politikalarının güçlendirilmesi ve şeffaflık ilkelerinin benimsenmesi açısından da önemli bir ders oldu.
Loading...
