Haziran Kripto Saldırıları Artıyor: Gnosis Pay ve TesseraDAO İstismar Edildi

Haziran 2026'nın ilk günleri, büyüyen kripto saldırıları listesine iki yeni giriş daha ekledi. Pazarın farklı bölümlerini iki ayrı istismar vurdu: kendi kendine saklama kripto kartı platformu Gnosis Pay ve BNB Chain üzerindeki bir token projesi olan TesseraDAO. Her iki olay da küçük değildi ve yıl boyunca artan kayıplar listesine eklendi.

Saldırılar birkaç gün arayla gerçekleşti ve 2026'da tanıdık hale gelen senaryoları izledi. Biri, hırsızlığı yavaşlatmak için tasarlanmış bir güvenlik özelliğini hedef aldı. Diğeri ise klasik bir bas-ve-sat planı kullandı, ardından izleri gizlemek için gelirleri bir karıştırma protokolü aracılığıyla aktardı. İşte olanlar, basit terimlerle açıklanmış hali ve kullanıcıların daha güvende kalmak için atabileceği basit adımlar.

Gnosis Pay'e Ne Oldu?

Gnosis Pay, kullanıcıların fonlarını merkezi bir saklayıcıya teslim etmek yerine kendi kontrollerinde tutarak kripto paralarını doğrudan harcamalarına olanak tanıyan, kendi kendine saklama kripto kartı sunar. Kullanıcıları korumak için platform, gecikme modülü adını verdiği bir özellik geliştirdi. Fikir basittir: giden bir işlem talep edildiğinde, sistem işlem gerçekleşmeden önce üç dakikalık bir bekleme süresi uygular. Bu kısa duraklama, kullanıcının herhangi bir para çıkmadan önce kötü niyetli veya hatalı bir transferi fark etmesi ve iptal etmesi için zaman tanımayı amaçlar.

Bir saldırgan, bu korumayı atlamaya izin veren bir hata buldu. Gecikme modülünü atlayarak, istismarcı, son savunma hattı olması beklenen yerleşik bekleme süresi olmadan işlemleri gerçekleştirebildi. Zaman gecikmeleri gibi güvenlik özellikleri, saldırganlar için sürtünme yarattıkları için kendi kendine saklama ürünlerinde yaygındır, bu nedenle bir atlatma, tasarımın temel vaadini zayıflatır.

TesseraDAO İstismarı

TesseraDAO olayı, dolar bazında daha büyük ve uygulama açısından daha agresifti. Bir saldırgan, BNB Chain üzerinde 99 milyon TSR tokeni bastı ve ardından bunları yaklaşık 2,5 milyon dolar değerinde USDT (dolara sabitlenmiş bir stabilcoin) ile takas etti. Piyasaya çıkan yeni oluşturulan tokenlerin akışı, TSR fiyatını yaklaşık yüzde 99 oranında düşürerek tokenin değerinin çoğunu neredeyse anında sildi.

İstismarcı orada durmadı. Nakde çevirdikten sonra, saldırgan fonları BNB Chain'den Ethereum'a köprüledi ve ardından onları akladı; yaklaşık 1.285,5 ETH'yi, fonların nereden geldiğini ve nereye gittiğini gizlemek için kullanılan bir karıştırma protokolü olan Tornado Cash üzerinden gönderdi. Adımların birleşimi saldırıyı etkili kıldı: bas, sat, köprüle ve akla.

Bas-ve-Sat İstismarı Nasıl Çalışır?

Genel olarak, bir bas-ve-sat istismarı, saldırganın yeni tokenleri yoktan var edebilmesine dayanır. Bir akıllı sözleşmede, birinin büyük miktarda token basmasına izin veren bir kusur veya izin varsa, o kişi bir an önce var olmayan çok sayıda tokene aniden sahip olabilir.

Bir sonraki adım satıştır. Saldırgan, yeni basılan bu tokenleri hızla piyasaya satar, genellikle onları bir stabilcoin veya gerçek değere sahip başka bir varlıkla takas eder. Piyasanın sınırlı likiditesi olduğundan, büyük bir arzı piyasaya sürmek fiyatı keskin bir şekilde düşürür, bu yüzden TSR yaklaşık yüzde 99 düştü. Saldırgan değerli varlıklarla uzaklaşırken, sıradan sahipler ödediklerinin çok küçük bir kısmına değen tokenlerle kalır.

Karıştırıcı Aracılığıyla Aklama Nasıl Çalışır?

Bir saldırgan değerli fonlara sahip olduğunda, amaç izleri gizlemeye kayar. Genel blok zincirleri her işlemi kaydeder, bu nedenle herkes parayı bir adresten diğerine takip edebilir. Tornado Cash gibi bir karıştırma protokolü, bu görünür zinciri kırmak için tasarlanmıştır. Basitçe söylemek gerekirse, bir karıştırıcı birçok farklı kaynaktan gelen mevduatları bir araya getirir ve ardından kullanıcıların fonları belirli bir çekimi belirli bir mevduata geri bağlamayı zorlaştıracak şekilde çekmelerine olanak tanır.

Köprüleme başka bir katman ekler. Fonları önce BNB Chain'den Ethereum'a taşıyarak, saldırgan parayı karıştırmadan önce ağlar arasında kaydırır, bu da izlemeyi daha da karmaşık hale getirir. Bunların hiçbiri yanlış yapmaya yönelik bir rehber değildir; sadece araştırmacıların çalınan fonları bir köprü ve karıştırıcıdan geçtikten sonra neden genellikle gözden kaçırdıklarını açıklar.

2026'da Tanıdık Bir Desen

TesseraDAO saldırısı, bu yıl tekrar tekrar ortaya çıkan bir deseni izledi: bas, sat, köprüle, akla. Her aşama, saldırgan için farklı bir sorunu ele alır. Basma varlıkları yaratır, satma onları faydalı bir şeye dönüştürür, köprüleme onları olay yerinden uzaklaştırır ve aklama varış yerini gizler.

Daha geniş bağlam düşündürücüdür. Hackerlar 2026 boyunca, ağlar arasında yer alan ve onları cazip hedefler haline getiren birleştirilmiş varlıkları tutan zincirler arası köprülerden yüz milyonlarca dolar dahil olmak üzere büyük meblağlar boşalttılar. Gnosis Pay ve TesseraDAO istismarları, saldırganların bir güvenlik modülünde veya bir token sözleşmesinin basma izinlerinde olsun, zayıflıkları tekrar tekrar bulup kullandığı bir yılda iki ek veri noktasıdır.

Nasıl Güvende Kalınır?

Kullanıcılar her istismarı önleyemez, ancak birkaç alışkanlık maruziyeti azaltır. Sahte klonlar yaygın olduğundan, bir cüzdan bağlamadan veya kimlik bilgileri girmeden önce her zaman resmi bir uygulama veya web sitesi kullandığınızı doğrulayın. Tek bir büyük satışın fiyatı önemli ölçüde hareket ettirebileceği ve sözleşme risklerinin değerlendirilmesinin daha zor olduğu yeni veya düşük likiditeli tokenlere karşı dikkatli olun.

Ani arz değişikliklerine dikkat edin. Toplam arzı belirgin, duyurulmuş bir neden olmaksızın aniden artan bir token, devam eden bir basma istismarının uyarı işareti olabilir. Zincir üstü verileri gösteren araçlar burada yardımcı olabilir. Ticaret yapmadan önce, DEXTools gibi bir platformda bir tokenin arzını ve likiditesini kontrol etmek, ne satın aldığınıza dair daha net bir resim verebilir. Bunların hiçbiri finansal tavsiye değildir, ancak küçük bir doğrulama çok işe yarar.

Sonuç

Gnosis Pay ve TesseraDAO istismarları, aynı sorunun iki ucunu gösteriyor. Bir saldırı, kullanıcıları korumak için oluşturulmuş bir özelliği alt etti ve diğeri, bir sözleşme kusurunu bir köprü ve karıştırıcı aracılığıyla kaybolmadan önce yaklaşık 2,5 milyon dolara dönüştürdü. 2026 hack sayısı artmaya devam ederken, temel dersler aynı kalıyor: kullandığınızı doğrulayın, tanıdık olmayan tokenlere karşı dikkatli olun ve sorunları erken işaret edebilecek zincir üstü verilere dikkat edin.