Ekubo Protocol, EVM swap router sözleşmelerindeki erişim kontrolü açığının kötüye kullanılması sonucu yaklaşık 1,4 milyon dolar değerinde wrapped bitcoin (WBTC) kaybetti. Bu olay, merkeziyetsiz finans (DeFi) ekosisteminde güvenlik açısından zorlu geçen bir döneme yeni bir vaka ekledi.
Başlangıçta Starknet üzerinde inşa edilen ve daha sonra Ethereum ile Arbitrum’a genişleyen, yoğunlaştırılmış likiditeye sahip bir otomatik piyasa yapıcı (AMM) olan Ekubo, singleton mimarisi ve modüler uzantı sistemiyle biliniyor.
Blok zinciri güvenlik şirketi Blockaid’e göre saldırı, Ekubo’nun v2 EVM uzantı sözleşmelerindeki ödeme geri çağırma açığını hedef aldı. Sözleşmeler, saldırganların kontrolündeki veri yüklerinden gelen ödeyen, token ve miktar parametrelerini, işlemi yetkilendirenin gerçekten onay verip vermediğini doğrulamadan kabul etti.
Saldırganlar, bu açığı kullanarak daha önce ilgili router sözleşmelerine token onayı vermiş cüzdanlardan varlık çekti.
Kötü niyetli aktörler, hırsızlığı yaklaşık 85 hızlı işlemle gerçekleştirdi.
Zincir üstü verilere ve Cyvers gibi güvenlik izleme servislerinin tespitlerine göre, ana mağdur yaklaşık 17 WBTC kaybetti. Çalınan varlıklar daha sonra WETH ve DAI’ye dönüştürüldü.
Ekubo, kullanıcıları hızla uyardı. Protokol, X üzerinden yaptığı açıklamada, yalnızca EVM zincirlerindeki swap router sözleşmesinde aktif bir güvenlik olayı yaşandığını ve likidite sağlayıcılarının etkilenmediğini belirtti.
Protokolün ana Starknet dağıtımı ve genel likidite tabanı ise Ethereum Katman 2 ağının geliştiricisinin X’te yaptığı açıklamaya göre zarar görmedi.
Ekubo ekibi, tüm kullanıcıları revoke.cash üzerinden mevcut token onaylarını derhal iptal etmeye çağırdı.
Ekubo’nun EVM sözleşmeleri tasarım gereği değiştirilemez olduğundan, etkilenen router için tek çözümün yamalı bir yeniden dağıtım olduğu vurgulandı. Haberin yayına alındığı ana kadar başka bir kayıp bildirilmedi.
2026 DeFi Kayıpları Artıyor
Ekubo’daki bu açık, modüler DeFi mimarisinde onay tabanlı saldırı riskinin tipik bir örneği olarak öne çıkıyor. Bu tür zafiyetler, 2026 boyunca protokollerde yaşanan çok sayıda ihlalle birlikte yeniden gündeme geldi.
The Block’un önceki haberlerine göre, Ekubo vakasından önce 2026’daki DeFi kayıpları zaten 750 milyon doları aşmıştı.
Nisan ayında ise yaklaşık 30 ayrı olayda toplam 620 milyon doların üzerinde varlık çalındı. Bu, olay sayısı bakımından kayıtlara geçen en yoğun aylardan biri oldu.
Drift Protocol’deki 280 milyon dolarlık ve Kelp DAO’daki 292 milyon dolarlık açıklar, toplam kaybın büyük bölümünü oluşturdu. Ayrıca, Wasabi Protocol’deki 4,5 milyon dolarlık yönetici anahtarının ele geçirilmesi ve Volo Protocol’deki 3,5 milyon dolarlık kasa açığı gibi daha küçük çaplı olaylar da ay boyunca kayıpların devam etmesine neden oldu.
Bu içerik hazırlanırken faydalanılan kaynaklar: theblock.co
