Bir saldırgan, flash loan oracle manipülasyonu yoluyla wGOOGLx teminatını gerçek değerinin 78 katına şişirerek 1 Temmuz'da Edel Finance'in kredi rezervlerinden 403 bin dolar çekti.
"Saldırgan, yeni istismar sözleşmeleri dağıttı ve wGOOGLx ile GOOGLx arasındaki döviz kurunu çarpıtmak için bir flash loan kullandı; bu, sarılı teminatın doğru fiyatının kabaca 78 katı değerlenmesine neden oldu," dedi istismarı gerçek zamanlı olarak tespit eden blockchain güvenlik firması Blockaid.
Manipülasyon, Edel'in Ethereum üzerindeki xStock kredi rezervlerini hedef aldı. Chainlink oracle'ları Alphabet'in hisse fiyatını kabaca 357 dolar olarak doğru bir şekilde raporladı — kusur, fiyat akışının kendisinde değil, GOOGLx'i sarılı formu wGOOGLx'e dönüştüren sarma mekanizmasında yatıyordu. Saldırgan, sahte teminat karşılığında gerçek varlıkları borç aldı ve ardından çalınan fonları Etherscan kayıtlarına göre Tornado Cash üzerinden taşıdı.
Edel tüm V1 sözleşmelerini durdurdu, batık borcu üstlendi ve mevduat sahiplerine 1'e 1 geri ödeme sözü verdi. Ekip, yeniden tasarlanmış bir oracle mimarisiyle V2'yi devreye alıyor ve saldırgana beyaz şapka anlaşması teklif etti. Olay, sarma ve dönüştürme adımlarının standart oracle manipülasyonunun ötesinde saldırı yüzeyleri eklediği tokenize edilmiş gerçek dünya varlıklarındaki kalıcı riskleri vurguluyor.
DefiLlama verilerine göre, kullanıcıların fonlarını çekmek için acele etmesiyle Edel Finance'te kilitlenen toplam değer, istismar sonrası yaklaşık 630 bin dolardan yaklaşık 947 dolara düştü. Protokol, kaydedilen en büyük değer olan tahmini 630 bin dolarlık net çıkış kaydetti.
Bu istismar, DeFi güvenliği için 2026'nın ilk yarısını zorlu kılan olaylara ekleniyor. CertiK'e göre, sektör genelinde kümülatif kayıplar 1,1 milyar doları aşarken, oracle ve döviz kuru manipülasyonu en yaygın saldırı vektörleri arasında yer alıyor. Yalnızca Nisan ayında 28 ila 30 ayrı hack olayı yaşandı ve toplam 625 milyon doların üzerinde kayıp oluştu.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımaz.