Düşük piyasa değerine sahip bir token’daki zayıf güvenlik önlemleri, DeFi (Merkeziyetsiz Finans) oyun sistemlerinin risklerini bir kez daha gözler önüne serdi. Blockchain güvenlik firmaları, bir saldırganın yönetişim kontrolünü ele geçirdiği, milyarlarca token bastığı ve Balancer V1 havuzundaki likiditeyi boşalttığı Token of Power (TOP) üzerinde 1,58 milyon dolar tutarında bir saldırı gerçekleştiğini duyurdu.

Saldırı Nasıl Gerçekleşti? Tornado Cash’ten fonlanan bir adres, TOP token’ın düşük arzı ve fiyatı nedeniyle oy gücünün %50’sinden fazlasını ele geçirdi. Aragon DAO ve MiniMeToken altyapısıyla, saldırgan toplamda 16.384 adetlik TOP arzının yarısından fazlasını elinde bulunduruyordu. Tek bir işlemle kötü niyetli bir öneri yarattı, oy verdi ve hemen uyguladı. Bu hamle TokenManager’ın saldırganın kontratına doğrudan 10 milyar TOP basmasını tetikledi. Yeni basılan token’lar, TOP/WETH Balancer V1 havuzunda 944,2 WETH (yaklaşık 1,585 milyon dolar) ile takas edilerek havuzdaki likidite tamamen boşaltıldı.

Güvenlik Uyarıları Gecikmedi BlockSec Phalcon, saldırının detaylarını paylaştı ve acil önlem çağrısında bulundu: BlockSec Phalcon, ‘Lido/Aragon altyapısındaki benzer yönetişim mekanizmalarını kullanan projelerin; oy gücü dağılımı, toplantı yeter sayısı, oy geçme barajları, token basma izinleri ve ilgili tüm yönetişim korumalarını dikkatle gözden geçirmeleri gerekiyor’ dedi. Çalınan fonlar tekrar Tornado Cash üzerinden transfer edildiği için kurtarma çalışmaları daha da zorlaştı. Balancer’ın ana protokolünde herhangi bir kayıp yaşanmadı.

Piyasa ve Yatırımcı Etkisi: Risk Artıyor! Bu saldırı, 2026 yılında küçük DeFi projelerine yönelik yönetişim saldırısı furyasına bir yenisini ekledi. Düşük likidite ve gevşek parametreler bu tip ele geçirmeleri kolaylaştırıyor. Büyük protokoller timelock ve yüksek oy barajlarıyla korumalarını artırırken, piyasaya yeni çıkan birçok token halen savunmasız kalıyor. Düşük piyasa değerli token’lar veya likidite sağlayan yatırımcılar; yönetişim parametrelerini kontrol etmeli, büyük token birikimlerini izlemeli ve doğrulanmamış havuzlardan uzak durmalı. Benzer altyapılara sahip projeler gelecek dönemde artan incelemeler ve güncelleme baskısıyla karşı karşıya kalacak gibi görünüyor. Daha geniş ekosistem için bu gelişme uyarı niteliğinde: Güçlü bir yönetişim tasarımı olmadan, kullanıcı fonlarını korumak giderek karmaşıklaşan ve ucuzlaşan saldırılara karşı imkansız hale gelebilir. Dikkatli olun ve yalnızca denetlenmiş, kendini ispatlamış parametrelere öncelik verin.