Balancer 1,6 milyar dolarlık saldırı olayının detayları: “Yuvarlama fonksiyonu” açığını tespit etti, DeFi güvenliği yeniden alarm verdi

DeFi protokolü Balancer, yakın zamanda yaşanan ve 1.16 milyar doların üzerinde varlık çalınmasına neden olan olayın temel teknik kökeninin, protokol içindeki “upscale” fonksiyonundaki yuvarlama (Rounding) mantığındaki hata olduğunu doğruladı. Bu saldırı, Ethereum, Arbitrum, Base ve Polygon gibi birçok ağda gerçekleşti ve WETH, osETH ile wstETH gibi varlıkların büyük kayıplarına yol açtı.

Etkilenen StakeWise protokolü yaklaşık 19 milyon dolar değerinde osETH’yi geri kazanmayı başardı; ancak güvenlik ekipleri hemen etkilenen likidite havuzlarını durdurdu ve tüm şüpheli işlemleri izlemeye aldı. Bu durum, çapraz zincir DeFi yönetişim katmanlarının güvenlik tepkisinin aciliyetini ortaya koyuyor.

Balancer Kaybının “Teknik Temeli” Üzerine Derin Analiz

tarafından çalınan 1.16 milyar dolar: EVM mantık hatlarından çok zincirli arbitrajlara

Balancer protokolüne 3 Kasım 2025’te yapılan saldırı, akıllı sözleşmelerdeki hassasiyet sorunlarının yol açtığı tipik bir felaket örneği. Proje ekibinin ilk raporuna göre, açık, token takası sırasında kullanılan “upscale” fonksiyonundaki yuvarlama (Rounding) mantığındaki hatadan kaynaklanıyordu.

DeFi protokolündeki token havuzlarında, matematiksel hesaplamalar oldukça kritik. Saldırganlar, kodun tam sayı olmayan ölçeklendirme faktörleri (Non-integer Scaling Factors) ile işlem yaparken son basamakları nasıl işlediğini kullanarak, dikkatlice tasarlanmış işlemlerle likidite havuzlarının bakiyelerini sistematik biçimde manipüle etti. Bu sayede, çeşitli ağlarda fonları “çekip aldı”. Saldırının gizemi, saldırganların fonları nihayet çekmeden önce, protokolün kasalarına (Vaults) gizlice varlık transferleri yapması ve büyük çapta değer transferi gerçekleştiğinde ortaya çıkmasıydı.

Toplamda 1.166 milyar dolar değerinde varlık çalındı; en ağır kayıplar ise 6,587 WETH, 6,851 osETH ve 4,260 wstETH şeklinde gerçekleşti. Bu, saldırganların özellikle karmaşık getiriyi artıran likidite stake tokenleri (LST) üzerinde hedef aldığına işaret ediyor; ayrıca LST protokolleri ile DEX entegrasyonlarının potansiyel risklerini de gözler önüne seriyor.

###’nin Ortak Savunması: Ekosistemler Güvenlik Açıklarına Nasıl Yanıt Veriyor?

Olay sonrası, DeFi ekosistemi hızlı risk yönetimi kabiliyetlerini gösterdi.

En ciddi etkilenen protokollerden StakeWise, hızla hareket ederek yaklaşık 19 milyon dolar değerinde osETH’yi geri aldı; bu, toplam kayıpların yaklaşık %73,5’ine karşılık geliyor ve iç kontrol ile güvenlik ortaklarının hızlı tepki kapasitesini gösteriyor.

Balancer ve güvenlik ortakları, hemen çok katmanlı savunma mekanizmalarını devreye soktu:

• Tüm etkilenen likidite havuzları durduruldu (Paused).
• Yeni havuzların oluşturulması engellendi.
• Riskli görülen havuzlarda ödüller askıya alındı; böylece teşvik kaynaklı kötü niyetli hareketler engellendi.

Daha geniş çapta, Sonic Labs gibi protokoller acil durumlarda fonları dondurdu; Berachain doğrulayıcıları ise saldırganların fon transferlerini engellemek için kısa süreliğine ağ operasyonlarını durdurdu. Bu çapraz protokol ve ağlar arası “yarı durdurma” işbirliği, DeFi güvenliğinde olgunlaşmanın ve “sistemik risklere” karşı kolektif tepkinin göstergesidir.

İyileşme Yol Haritası ve Sektör Katılımcılarına Çıkarımlar

###’nin Varlık Takibi ve Nihai Rapor: Şeffaflık Güvenin Yeniden İnşasında Anahtar

Şu anda, Balancer ekibi, güvenlik uzmanlarıyla yakın işbirliği içinde olayın denetimini yapıyor ve kayıp varlıkların doğrulanmasıyla ilgili çalışmalarını sürdürüyor. Proje, tüm etkilenen sözleşmeler ve işlemler doğrulandıktan sonra, toplam kayıp ve varlıkların geri kazanımıyla ilgili nihai raporu yayımlamayı taahhüt etti.

DeFi geliştiricileri ve yapıcıları için bu olay, önemli dersler içeriyor:

1. Fonksiyonların hassasiyet incelemesi: Yuvarlama ve çarpma işlemlerinde kullanılan matematiksel mantık, EVM tabanlı protokollerde “kara delik” gibi. Bu nedenle, tüm varlık artış ve azalışlarını içeren matematiksel işlemler, daha katı biçimsel doğrulamalarla gözden geçirilmelidir.
2. Risk izolasyonu: Protokoller arası derin entegrasyon, sermaye verimliliğini artırsa da, tek bir açık tüm zincirleri etkileyebilir.

Kayıplar ve tazminatlar tamamlanmadan önce, kullanıcıların etkilenen sözleşme adreslerinden uzak durmaları ve resmi bilgi kanallarını yakından takip etmeleri önemlidir; böylece olası phishing veya dolandırıcılık girişimlerinden korunabilirler.

Sonuç

Balancer’ın “yuvarlama hatası” nedeniyle yaşanan bu büyük kayıp, DeFi alanında kodun hassasiyetinin ne kadar kritik olduğunu bir kez daha gösterdi. 1.16 milyar dolar kayıp üzücü olsa da, protokol ve ortaklarının hızlı tepki, varlık dondurma ve geri kazanma kabiliyetleri, DeFi altyapısının krizlere karşı dayanıklılığının arttığını ortaya koyuyor. Gelecekte, toplulukların Balancer’ın denetim ve kod güncellemeleriyle, temel AMM mantığının sağlamlığını nasıl sağlayacağına odaklanması, piyasa liderliğini sürdürebilmek için temel unsur olacaktır.