Com Feed’in zincir üstü izleme verilerine göre, Ethereum transferi, Mayıs ayında bir likidite sağlayıcısının kontrolündeki akıllı sözleşmeden yaklaşık 5,87 milyon doların çekildiği saldırının ardından kısmi bir toparlanmaya işaret ediyor. Saldırgan, iade edilen fonlarla yaklaşık aynı tutarda bir meblağı elinde tutmaya devam ederek bunu bir ödül (bounty) olarak nitelendirdi.
TrustedVolumes’a yönelik saldırının ardından, saldırgan 1.122 ETH’yi (yaklaşık 2 milyon dolar) iade etti. İlk saldırıda toplamda 5,8 milyon doların üzerinde varlık çalınmıştı. Saldırgan, yaklaşık 2 milyon dolarlık kısmı iade ederken, benzer tutarda bir meblağı ödül olarak elinde tutuyor.
Haberin yazıldığı sırada, TrustedVolumes saldırganın ödül şartlarını kabul ettiğine dair resmi bir açıklama yapmamıştı.
Kısmi İade, Zararın Sadece Bir Kısmını Karşılıyor
TrustedVolumes, Mayıs ayında yaptığı açıklamada toplam kaybın yaklaşık 6,7 milyon dolara ulaştığını ve bu rakamın güvenlik araştırmacılarının ilk tahminlerinin üzerinde olduğunu bildirdi. Şirket, çalınan varlıkların üç farklı cüzdanda tutulduğunu ve bu cüzdanlarda sırasıyla yaklaşık 3 milyon, 3 milyon ve 700 bin dolar bulunduğunu açıkladı.
Varlıkları geri almak amacıyla TrustedVolumes, saldırgana bir açık bulma ödülü ve karşılıklı kabul edilebilir bir çözüm üzerinde görüşme teklif etti. Likidite sağlayıcı, saldırganı yapıcı bir iletişime davet etti ancak önerilen ödül oranına dair bir detay paylaşmadı.
Çalınan token’lar konsolide edilmeden önce, Blockaid; 1.291,16 WETH, 206.282 USDT, 16,939 WBTC ve 1,27 milyon USDC’nin saldırı sırasında çekildiğini tespit etti. PeckShield ise saldırganın bu token’ları takas ederek yaklaşık 2.513 ETH topladığını bildirdi.
İade edilen 1.122 ETH, haberin yazıldığı sırada yaklaşık 2 milyon dolar değerindeydi. Com Feed, saldırganın elinde tuttuğu ödülün de benzer bir değerde olduğunu belirtti. ETH fiyatının Mayıs ayındaki saldırıdan bu yana düşmesi nedeniyle, toplam dolar bazındaki iade edilen tutar ilk kaybın altında kaldı.
Güvenlik Açığına TrustedVolumes’un Özel Proxy’si Neden Oldu
Daha önce crypto.news tarafından aktarıldığı üzere, Blockaid Mayıs ayındaki saldırının kaynağını TrustedVolumes tarafından işletilen özel bir request-for-quote (RFQ) swap proxy’sine kadar izledi. Güvenlik şirketine göre, saldırgan şirketin Ethereum çözümleyici altyapısını hedef aldı; standart 1inch swap rotası kullanılmadı.
TrustedVolumes, RFQ sistemiyle token fiyatlarını belirliyor ve envanterinden imzalı işlemleri tamamlıyordu. Verichains, herkese açık bir fonksiyonda erişim kontrolü eksikliği tespit etti. Bu sayede saldırgan, bir cüzdan adresini onaylı emir imzalayıcısı olarak kaydedebildi ve proxy’ye geçerli görünen işlemler oluşturabildi.
Aynı işlem sırasında saldırgan, proxy’yi kullanarak TrustedVolumes’un envanter kasasından WETH, WBTC, USDT ve USDC çekti. Verichains ayrıca, yetkilendirme için kontrol edilen adres ile token sağlayan adres arasında bir uyumsuzluk ve hatalı replay koruması nedeniyle emirlerin doğru şekilde kaydedilmediğini belirledi.
Etkilenen piyasa yapıcı, 1inch üzerinden likidite sağlasa da, 1inch’in açıklamasına göre saldırı, platformun ana toplama sözleşmelerini veya standart kullanıcı rotalarını etkilemedi. Blockaid, saldırgan cüzdanı Mart 2025’teki Fusion V1 saldırısıyla ilişkilendirse de, Mayıs ayındaki saldırının TrustedVolumes’un özel proxy’sine özgü farklı bir açıktan kaynaklandığını bildirdi.
Bu içerik hazırlanırken faydalanılan kaynaklar: crypto.news