DeFi sektöründe 2026 yılında yaşanan kayıplar endişe verici bir şekilde artmaya devam ediyor. Sadece dört ayda 1 milyar doları aşan kayıpların nisan ayında tek başına 634 milyon doları aştığı belirtiliyor. Bu kayıpların önemli bir bölümü, kod açıkları değil, operasyonel ve anahtar yönetimi hatalarından kaynaklanıyor. DefiLlama'nın analizlerine göre en sık karşılaşılan sorunlar arasında LayerZero bridge açıkları, ele geçirilen yönetim anahtarları, sahte token'lar ve özel anahtar sızıntıları bulunuyor. Akıllı kontrat hataları ise nadiren görülüyor.

Echo Protocol'deki Saldırı ve Sonuçları

18 Mayıs'ta Echo Protocol, Monad üzerinde bir saldırıya uğradı ve saldırgan tarafından 1.000 adet sahte eBTC oluşturuldu. Kağıt üzerinde bu token'ların değeri 76,7 milyon dolar olsa da, gerçek değeri yoktu. Saldırgan, bu sahte token'ları Curvance platformunda teminat olarak kullanarak gerçek Bitcoin borç aldı ve elde ettiği Bitcoin'i Ethereum ağına aktarıp ETH'ye çevirerek Tornado Cash üzerinden yaklaşık 816.000 dolar elde etti. Bu durum, ilk başta 76,7 milyon dolar olarak duyurulan kayıp miktarının aslında çok daha düşük olduğunu ortaya koydu.

Olayın Perde Arkası

Echo Protocol'deki saldırının temelinde, kötü amaçlı bir akıllı kontrat kodu değil, bir yönetici anahtarının ele geçirilmesi veya yetkisiz erişim bulunması yatıyordu. Bu anahtar, Monad üzerindeki eBTC token'ını basma yetkisine sahipti. Saldırgan, Monad'ta düşük likidite nedeniyle sahte eBTC'leri nakde çeviremediği için Curvance'in yeni basılan teminatlara güvendiğini ve bu teminatları kullanarak gerçek Bitcoin borç aldığını tespit etti.

Çıkarılacak Dersler

Bu olay, DeFi saldırılarının giderek daha karmaşık hale geldiğini ve anahtar yönetimi, yönetici hakları, bridge'ler, altyapı ve ekip operasyonları gibi alanlara odaklandığını gösteriyor. Akıllı kontrat açıkları ise ikinci planda kalıyor. Çoklu imza ile yönetici kontrolü, zaman kilidi (timelock), mint tavanı, oran sınırlamaları ve teminat kontrolleri gibi basit önlemler bu tür olayları azaltabilirdi.

Olayın Oyuncuları

Echo Protocol, bir BTCFi projesi olup, kullanıcıların Bitcoin'lerini DeFi'de kullanılabilecek bir versiyona dönüştürmelerini sağlıyordu. Proje, Aptos platformunda geliştirilmiş olup, token adı aBTC idi. Daha sonra Monad platformuna genişledi ve burada wrapped BTC token'ı eBTC adını aldı. aBTC ve eBTC tamamen ayrı varlıklar olup birbirine bridge edilemiyor. Monad, yeni nesil yüksek performanslı bir EVM Katman 1 platformu olup, 2025-26 yıllarının en çok konuşulan zincirlerinden biri oldu. Monad'ın ana ağı yeni açılmış olup, birçok protokol arka arkaya devreye giriyor. Kurucu ortaklar, Monad ağının saldırıdan etkilenmediğini ve normal çalıştığını belirtiyor.