Önemli Notlar
- Denetlenmemiş bir TLP sözleşmesi ve oracle sistemindeki yetki kontrolü eksikliği, saldırganların milyonlarca dolarlık farklı token’ı çekmesine imkân tanıdı.
- Saldırı yalnızca TLP sözleşmesini etkilerken, SAFU ve DeFi Options Vaults fonları güvende kaldı ve kurtarma çalışmaları devam ediyor.
- Sui’nin DeFi ekosistemi, bu yıl toplamda 225 milyon doları aşan üç büyük saldırının ardından artan inceleme ve eleştirilerle karşı karşıya.
Typus Finance, Sui Network üzerinde faaliyet gösteren bir perpetual ve opsiyon merkeziyetsiz borsası, 15 Ekim’de büyük bir saldırıya uğrayarak 3 milyon doların üzerinde token kaybetti. Bu olay, 2025 yılında Sui DeFi ekosisteminde yaşanan üçüncü büyük saldırı oldu. Daha önce Mayıs ayında Cetus Protocol ve Eylül ayında Nemo Protocol saldırıya uğramıştı.
16 Ekim’de yayımlanan ayrıntılı raporda saldırının zaman çizelgesi ve kök nedeni paylaşıldı. Sorunun, denetlenmemiş bir TLP sözleşmesi ile yetki kontrolü eksikliği bulunan bir oracle açığından kaynaklandığı belirtildi. Rapora göre saldırgan toplam 3,44 milyon dolar değerinde SUI, USDC, xBTC ve suiETH çekti. Typus’un kayıpları şu şekilde açıklandı: 588.357,9 SUI, 1.604.034,7 USDC, 0,6 xBTC ve 32,227 suiETH.
Rapor şu ifadeyi içeriyor: “Bu sorunun ortaya çıkmasında iki süreç etkili oldu. İlk olarak, 13 Kasım 2024’te dağıtılan savunmasız oracle modülü, MoveBit tarafından Mayıs 2025’te yapılan denetim kapsamına dahil edilmemişti. İkinci olarak, zincir üzerindeki izleme hizmetimizin uyarı sıklığı bu tür olayları anında tespit edecek şekilde yapılandırılmamıştı.”
Saldırı büyük olsa da sadece TLP sözleşmesi etkilendi. SAFU ve DeFi Options Vaults içinde bulunan fonlar güvende kaldı. Ekip, Sui Foundation, Mysten Labs, MoveBit, SlowMist ve Hypernative’den aktif destek aldıklarını ve şu anda bir varlık kurtarma planı üzerinde çalıştıklarını açıkladı.
We are now publishing our full post-mortem report on the October 15 TLP exploit.
The report details the incident timeline, root cause analysis, an impact assessment of approx. $3.44M USD, and our response plan.
We confirm that funds in our SAFU and DeFi Options Vaults were…
— Typus Finance (@TypusFinance) October 16, 2025
2025’te Sui Üzerindeki Üçüncü Büyük Saldırı
Typus Finance’tan önce, Sui blokzinciri üzerinde inşa edilen iki DeFi protokolü de bu yıl büyük saldırılara maruz kaldı.
İlk olarak, Sui’nin ana merkeziyetsiz borsası olan CETUS Protocol, Mayıs 2025’te gerçekleşen bir saldırıda 220 milyon doların üzerinde varlık kaybetti. Coinspeaker’ın haberine göre, Cetus hazırladığı raporda dikkat ve denetim konularında gevşek davrandığını Cointelegraph’da kabul etti .
İlgili Yazı: PepeNode: Kazanma Şansınız ve Bitcoin Madenciliğinin Yeni Trendi
Yapılan saldırılan ardından, Sui Foundation, Cetus ve OtterSec’in saldırgandan çalınan fonları ele geçirmesine izin veren tartışmalı bir yönetim oylaması yapıldı. Oylama sonucunda, saldırganın daha önce dondurulan Sui hesabındaki varlıkların geri alınabilmesi için özel imza yetkisine sahip bir özel anahtar oluşturuldu. Bu durum, Sui’nin kriptografik güvenliğinin ihlali olarak değerlendirildi.
Oylama açıklamasında şu ifadeler yer aldı: Bu oylama kabul edilirse, bir sonraki Sui sürümüne iki özel işlemin tek seferlik kimlik doğrulamasını etkinleştiren bir protokol yükseltmesi eklenecek. Bu işlemler saldırgan adresleri, çalınan varlık nesnelerini ve hedef adreslerini içerecek şekilde sabitlenecek. Oylama sonucu onaylanırsa, fonlar saldırgan adreslerden Cetus, Sui Foundation ve OtterSec’in imzacısı olduğu çoklu imza (multi-sig) cüzdana aktarılacak.
Yönetim Oylaması | Kaynak: Sui Explorer
En son olarak, Eylül ayında, Sui tabanlı getiri protokolü Nemo, 2,4 milyon dolarlık USDC kaybına yol açan bir saldırıya uğradı (Kaynak: CoinDesk).
X üzerindeki yorumcular, Typus Finance’in hem denetlenmemiş bir sözleşme kullanması hem de güvenilirliği kanıtlanmamış bir oracle tercih etmesi nedeniyle “ihmal” ile suçluyor. Bunun yerine Chainlink gibi daha yerleşik çözümlerin kullanılabileceği belirtiliyor.
⚠️ URGENT SECURITY ANNOUNCEMENT ⚠️
Approximately one hour ago, our TLP contract was exploited via an oracle vulnerability regarding a lack of authority checks.
To protect all users, ALL Typus smart contracts have been immediately PAUSED.
We are actively investigating with…
— Typus Finance (@TypusFinance) October 15, 2025
Hâlâ 10 Ekim’deki 19 milyar dolarlık likidasyon çöküşünün etkilerinden toparlanmaya çalışan piyasada belirsizliği artırdı. Coinspeaker’ın daha önce bildirdiğine göre, Mt. Gox geri ödemeleriyle ilgili satış baskısı nedeniyle piyasada ek olarak 540 milyon dolarlık likidasyon daha yaşandı.
Disclaimer: Coinspeaker, tarafsız ve şeffaf haber sunmaya kararlıdır. Bu makale, doğru ve zamanında bilgi sağlamayı amaçlamaktadır ancak finansal ya da yatırım tavsiyesi olarak değerlendirilmemelidir. Piyasa koşulları hızla değişebileceği için, bilgileri kendi başınıza doğrulamanızı ve herhangi bir karar vermeden önce bir uzmana danışmanızı tavsiye ederiz.