Kullanıcı, kötü niyetli 'izin' imzası istismarı nedeniyle 304.595 aBasUSDC kaybetti

Yönetici Özeti

Scam Sniffer tarafından 5 Kasım 2025 tarihinde bildirildiği üzere, bir kripto para kullanıcısı kötü niyetli bir 'izin' imzası gerçekleştirdikten sonra 304.595 dolar değerinde aBasUSDC token kaybetti. Bu durum, merkeziyetsiz finans alanındaki güvenlik sorunlarının devam ettiğini vurguluyor.

Detaylı Olay

5 Kasım 2025 tarihinde, bir kullanıcının 304.595 dolar değerinde aBasUSDC token kaybettiği bildirildi. Scam Sniffer tarafından ortaya çıkarılan ve ardından PANews tarafından rapor edilen olay, kullanıcının hileli bir 'izin' imzası atmasını içeriyordu. Bu saldırı yöntemi, kullanıcıları dijital varlıklarının aktarımını belirli işlem için açıkça bilmeden veya istemeden yetkilendirmeye kandırır.

EIP-2612 aracılığıyla ERC20 protokolüne dahil edilen 'izin' fonksiyonu, kullanıcıların token transferleri için zincir dışı yetkilendirme vermesine olanak tanır. Genellikle bu fonksiyon, bir hesabın (Sahip) belirlenmiş bir alıcı (Harcayıcı) için bir yetkilendirme imzası oluşturmasını sağlar ve alıcının, Sahip'ten zincir içi bir işlem gerektirmeden transferFrom çağrıları başlatma gibi yetkili işlemleri gerçekleştirmesine izin verir. İmza, Sahip, Harcayıcı, Değer ve Son Tarih gibi parametreleri içerir. Verimlilik için tasarlanan bu mekanizma, kullanıcılar kötü niyetli yetkilendirmeleri imzalamaya kandırılırsa istismar edilebilir.

Piyasa Etkileri

Bu istismar, özellikle token yetkilendirme mekanizmalarıyla ilgili olarak Web3 ekosistemindeki kritik bir güvenlik açığını vurgulamaktadır. Bu olay, 30 Eylül 2025 tarihinde iki kullanıcının kötü niyetli Uniswap Permit2 imzaları attıktan sonra 155.000 dolar değerinde aBascbBTC ve 90.000 dolar değerinde XAUt kaybetmesi gibi diğer önemli kayıpları takip ediyor. Bu olaylar, meşru protokol işlevlerini yasa dışı kazançlar için kullanan saldırıların artan karmaşıklığını ortaya koymaktadır.

Daha geniş piyasa duyarlılığı temkinli olmaya devam ediyor; 2025'in ilk yarısında Web3 sektöründeki hacker saldırıları, kimlik avı dolandırıcılıkları ve "rug pull"lar nedeniyle toplam kayıplar yaklaşık 2.138 milyar doları buldu. Beosin Alert tarafından yapılan izleme, aynı dönemde 90 büyük saldırı olayı kaydetti ve toplam kayıplar 2.093 milyar dolara ulaştı. 3 Kasım 2025'teki Balancer V2 istismarında 128 milyon dolardan fazla paranın çalınması da dahil olmak üzere bu tür olaylar, merkeziyetsiz finans platformlarının güvenliği ve bütünlüğü konusunda yatırımcı endişesini artırmaktadır.

Uzman Yorumu

GoPlus gibi güvenlik platformları, kullanıcılara son derece dikkatli olmalarını ve güvenlik protokollerine sıkı sıkıya bağlı kalmalarını tavsiye ediyor. Bunlar arasında bilinmeyen bağlantılardan kaçınmak, doğrulanmamış yazılımları yüklemekten kaçınmak, bilinmeyen işlem içeriklerini imzalarken dikkatli olmak ve doğrulanmamış adreslere fon transfer etmemek yer alıyor. Bir Web3 dolandırıcılıkla mücadele platformu olan Scam Sniffer, zincir dışı ve zincir içi veri analizinin bir kombinasyonu aracılığıyla gerçek zamanlı koruma sağlayarak bu tür tehditleri aktif olarak izler. Güvenlik çözümleri Binance, Bybit, OneKey, Phantom ve TokenPocket gibi büyük cüzdanlar tarafından kullanılarak milyonlarca kullanıcıyı kimlik avı ve dolandırıcılıktan korumayı amaçlamaktadır.

Daha Geniş Bağlam

Bu istismarların tekrar eden doğası, hem bireysel kullanıcılar hem de Web3 proje ekiplerinden sürekli tetikte olmayı gerektirmektedir. 'İzin' fonksiyonu işlem verimliliği sunsa da, istismar edilmesi, hızla gelişen teknolojik ortamda dijital varlıkları güvence altına almanın devam eden zorluğunu vurgulamaktadır. Bu olay, gelişmiş Web3 cüzdan özellikleri ve yetkilendirme protokolleriyle ilişkili riskleri azaltmak için işlem ayrıntılarının dikkatli bir şekilde doğrulanması ve güvenilir güvenlik araçlarının kullanılması da dahil olmak üzere sağlam güvenlik uygulamalarına olan ihtiyacı pekiştirmektedir.