Goldfinch Finance Kullanıcısı Ethereum Sözleşme Sömürüsünde 330.000 Dolar ETH Kaybı Rapor Etti

• Sömürü detayları: Saldırgan, deltatiger.eth cüzdanını sözleşme 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43 üzerinden hedef alarak 118 ETH (330.000 dolar değerinde) çaldı.

• Goldfinch Finance, a16z Crypto ve Coinbase Ventures tarafından desteklenen bir DeFi borç verme platformudur ve teminatsız kredileri destekleyiciler tarafından incelenir.

• Bu olay, Kasım ayındaki endüstri hack’lerinde 127 milyon dolarlık kayıpları takip ediyor; Goldfinch’in aktif kredileri CoinGecko verilerine göre 91,3 milyon dolar.

Goldfinch Finance sömürüsünü keşfedin: 330.000 dolarlık bir DeFi hack’i akıllı sözleşme risklerini ortaya koyuyor. Nasıl olduğu, önleme ipuçları ve teminatsız borç vermenin etkileri hakkında öğrenin. Kriptoda güvende kalın—onayları şimdi iptal edin!

Goldfinch Finance Sömürüsü Nedir?

Goldfinch Finance sömürüsü, 2 Aralık 2025’te Ethereum tabanlı DeFi platformunda bir saldırganın bir kullanıcının cüzdanını ele geçirmesiyle sonuçlanan bir güvenlik ihlali olup yaklaşık 330.000 dolar kayba yol açtı. Blockchain güvenlik firması PeckShield, eski bir akıllı sözleşmedeki açığın USDC token’larının yetkisiz transferlerine izin verdiğini belirledi. Bu olay, Goldfinch gibi köklü platformlarda bile merkeziyetsiz finans protokollerindeki devam eden riskleri vurguluyor.

Goldfinch Finance Hack’i Nasıl Gerçekleşti?

Sömürü, akıllı sözleşmenin collectInterestRepayment() fonksiyonundaki bir hatadan kaynaklandı; bu fonksiyon yeterli koruma olmadan onaylanmış herhangi bir adresten transferlere izin veriyordu. PeckShield’in analizi, saldırganın pay fiyatını yapay olarak manipüle etmek için 1.000 USDC yatırması ve ardından şişirilmiş fonları tekrar tekrar çekerek mağdurun varlıklarını boşaltmasını ortaya koydu. Hırsızlığın ardından, suçlu çalınan değere eşdeğer yaklaşık 118 ETH’yi, fonların izini gizlemek için gizlilik odaklı bir karıştırıcı olan Tornado Cash’e gönderdi.

Bu ihlal, deltatiger.eth kullanıcısını etkiledi ve saldırı UTC 9:30 civarında gerçekleşti. PeckShield derhal bir uyarı yayınlayarak tüm Goldfinch kullanıcılarını tehlikeli sözleşme (0x0689aa2234d06Ac0d04cdac874331d287aFA4B43) için onayları iptal etmeye çağırdı, böylece daha fazla kayıbı önledi. Son raporlara göre, ne Goldfinch Finance ne de etkilenen kullanıcı, kurtarma çabaları veya saldırgandan gelen iletişimler hakkında güncelleme sağlamadı.

Blockchain güvenlik uzmanları, bu tür açıkların DeFi protokollerindeki eski kodlardan sıkça kaynaklandığını vurguluyor. PeckShield’in X hesabında paylaşılan uyarısı aciliyeti vurguluyordu: “Bu sözleşme için onayları derhal iptal edin.” Bu olay, kullanıcılara token onaylarını düzenli olarak denetlemeleri ve iptal etmeleri gerektiğini hatırlatıyor; bu, ekosistemdeki sömürülerin yaygın bir vektörü.

Sıkça Sorulan Sorular

Son Goldfinch Finance Sömürüsünde 330.000 Dolar Kayıp Neden Oldu?

Goldfinch Finance sömürüsü, eski bir akıllı sözleşmenin collectInterestRepayment fonksiyonundaki bir açık nedeniyle tetiklendi; bu, saldırganın küçük bir miktar yatırdıktan sonra kullanıcı cüzdanından onaylanmış USDC’yi transfer etmesine izin verdi. PeckShield, 330.000 dolarlık kaybı doğruladı; fonlar Tornado Cash üzerinden aklandı ve riskleri azaltmak için acil onay iptalleri önerildi.

2025 DeFi Hack’inden Sonra Goldfinch Finance Güvenli mi?

Goldfinch Finance faaliyetlerine devam ediyor, ancak son sömürü DeFi borç vermesinde dikkatli olunması gerektiğini vurguluyor. Platformun teminatsız modeli yenilikçi olsa da, topluluk incelemelerine ve Nexus Mutual gibi sigorta ortaklıklarına dayanıyor. Kullanıcılar gereksiz onayları iptal etmeli ve Goldfinch’ten gelişmiş güvenlik önlemleri hakkında güncellemeleri takip etmeli ki daha güvenli katılım sağlasın.

Ana Çıkarımlar

• Akıllı sözleşme açıkları devam ediyor: collectInterestRepayment gibi eski kodlar büyük kayıplara yol açabilir; DeFi kullanıcıları için düzenli denetimler şarttır.
• Onayları derhal iptal edin: PeckShield’in şüpheli sözleşmeler için token onaylarını hemen iptal etme rehberi, Goldfinch gibi platformlarda yetkisiz boşaltmaları önleyebilir.
• DeFi riskleri artıyor: CertiK’e göre Kasım 2025 hack’leri 127 milyon doları buldu; yatırımları korumak için çeşitlendirme yapın ve sigortalı protokoller kullanın.

Sonuç

Goldfinch Finance sömürüsü, DeFi’deki kalıcı güvenlik zorluklarını vurguluyor; tek bir akıllı sözleşme hatası, 2 Aralık 2025’te deltatiger.eth kullanıcısına 330.000 dolar kayıp yaşattı. a16z Crypto gibi yatırımcılar tarafından desteklenen Goldfinch’in teminatsız borç verme modeli benzersiz fırsatlar sunsa da, Tugende Kenya’nın 5 milyon dolarlık ihlali gibi geçmiş temerrütlerde görüldüğü üzere dikkatli risk yönetimi gerektiriyor. Kripto endüstrisi Yearn Finance’in son 3 milyon dolarlık olayı gibi artan tehditlerle karşı karşıya; kullanıcılar onay iptallerini ve protokol şeffaflığını önceliklendirmeli. İleride, gelişmiş denetimler ve sigorta Goldfinch gibi platformları güçlendirebilir, daha dirençli bir DeFi ekosistemi yaratır; bilgili kalın ve varlıklarını bugün güvence altına alın.

Ethereum tabanlı DeFi platformu Goldfinch Finance’in belirlenmiş bir kullanıcısı, blockchain güvenlik platformu PeckShield’e göre yaklaşık 330.000 dolar kayıpla bir sömürüye maruz kaldı.

PeckShieldAlert, Salı günü X’te Goldfinch kullanıcısı deltatiger.eth’nin saldırganının Ethereum’daki eski bir akıllı sözleşmeyi hack’ledikten sonra yaklaşık 118 ETH’yi Tornado Cash’e gönderdiğini bildirdi.

Tehlikeli sözleşme, 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43 olarak tanımlandı ve suçlunun deltatiger’ın cüzdanını ele geçirerek fonları boşaltmasına olanak tanıdı.

#PeckShieldAlert @goldfinch_fi’s user deltatiger.eth @deltatigernz has been attacked, resulting in a ~$330K loss.

The hacker has deposited 118 $ETH of the stolen funds into #TornadoCash.

🚨Please *Revoke* approvals for this contract immediately:… pic.twitter.com/OOuv39YVU9

— PeckShieldAlert (@PeckShieldAlert) December 2, 2025

Açı, sözleşmenin collectInterestRepayment() fonksiyonunda yatıyordu; bu fonksiyon, onay veren herhangi bir adresten USDC transferine izin verebiliyordu. Saldırganın 1.000 USDC yatırıp pay fiyatını yapay olarak şişirdikten sonra fonları tekrar tekrar çektiği bildirildi.

PeckShield, saldırganın çalınan token’ları Tornado Cash üzerinden aklamaya devam ederken daha fazla token çalmasını önlemek için kullanıcıları “sözleşmedeki tüm onayları derhal iptal etmeye” uyardı.

Deltatiger ve Goldfinch’ten şimdiye kadar güncelleme yok; ne de bu varlıklar, UTC 9:30 civarında gerçekleşen sömürüden sonra saldırganın onlarla iletişime geçip geçmediğini açıkladı.

Goldfinch Finance’in Merkeziyetsiz Borç Verme Yöntemi Eleştirildi

Goldfinch Finance, kripto endüstrisinin büyük oyuncuları tarafından desteklenen bir merkeziyetsiz finans (DeFi) protokolüdür; bunlar arasında a16z Crypto ve Coinbase Ventures yer alır.

Çoğu kripto borç verme platformundan oldukça farklı olarak, Goldfinch borçlulardan teminat talep etmez. Bunun yerine, borçlular kredi tekliflerini destekleyiciler ve denetçiler tarafından incelemeye sunar; teklifler yeterli destek alırsa kredi verilir. Likidite sağlayıcıları, destekleyiciler ve denetçiler ödül olarak faiz kazanırken, borçlular teminatsız sermayeye erişir.

Protokol, Şubat 2021’de Ethereum’da yayına girdi ve başlangıçta 1 milyon dolar değerinde kredi verdi. 1.1 versiyonu bir ay sonra Mart 2021’de başlatıldı ve Goldfinch, aylar sonra Andreessen Horowitz’den 11 milyon dolar fon topladı. Ekim 2021’de platform, Likidite Sağlayıcıları ve Destekleyicilerin akıllı sözleşme sigortası satın almasına olanak tanıyan Nexus Mutual ile ortaklık kurdu.

Coingecko’nun token terminaline göre, Goldfinch protokolünün tam seyreltilmiş piyasa değeri 30,5 milyon dolar, son 30 günde token işlem hacmi 12,4 milyon dolar ve aktif krediler toplamı 91,3 milyon dolar.

2023’te, Doğu Afrika merkezli bir motosiklet finansman şirketi olan Tugende Kenya, Uganda merkezli ana şirketine yetkisiz bir kredi verdikten sonra 5 milyon dolarlık kripto kredisinde temerrüde düştü; bu, kredi şartlarını ihlal ediyordu.

Goldfinch’in ana şirketi Warbler Labs, Tugende Kenya’nın ana şirketine neredeyse 2 milyon doları aktardığını keşfetti. İhlal o yılın Aralık ayında ortaya çıktı, ancak şirket kayıtları bunun Şubat 2024’te Goldfinch’in yönetişim forumunda rapor edildiğini gösteriyor.

Başka bir temerrüt 2024’te Singapur merkezli özel kredi firması Lend East’i ilgilendirdi; firma, Goldfinch havuzundan aldığı 10,15 milyon dolarlık kredinin sadece 4,25 milyon dolarını geri ödeyebildiğini belirtti. Bu miktar, geri ödeme değerinin %58’i ve Goldfinch’in toplam aktif kredilerinin %7,7’siydi.

Lend East havuzu 25 aylık bir süreye sahipti ve 3 Nisan 2024’te olgunlaşıyordu; %17 USDC APY veya %28 değişken GFI APY sunuyordu. Discord topluluğu üyeleri, Goldfinch’ten alınan 750.000 doların diğer borçluları ödemek için kullanıldığını iddia ederek orijinal kredi anlaşmasını ihlal ettiğini öne sürdü.

Aralık Ayı DeFi Protokollerini Hack Kayıplarıyla Karşılıyor

Goldfinch’in hack’i, Yearn Finance’in yETH’sinin sınırsız basım ihlaliyle vurulmasından sadece 24 saat sonra geldi; bu, yETH havuzunu tek bir işlemde boşalttı. Rapörlere göre, saldırganlar neredeyse sonsuz yETH token’ı üreterek yaklaşık 1.000 ETH (3 milyon dolar değerinde) çıkardı ve bunu Tornado Cash üzerinden yönlendirdi.

yETH, ETH’nin çeşitli likit stake edilmiş versiyonlarına dayalı bir endeks token’ıdır; Ethereum Liquid Staking Derivatives (LST’ler) olarak bilinir. Sömürü, X kullanıcısı Togbe tarafından işaret edildi; Yearn, Rocket Pool, Origin ve Dinero dahil LST’lerde “ağır işlemler” not edildi.

Yearn Finance, resmi X hesabından olayı doğruladı ancak V2 ve V3 Vault’larının güvende olduğunu kullanıcılara garanti etti. Bu, 2021’deki yDAI vault ihlalinin 2,8 milyon dolar kayba yol açmasından ve Aralık 2023’teki hatalı bir script’in hazine pozisyonunun %63’ünü silmesinden sonraki ikinci saldırı.

Blockchain güvenlik firması CertiK, Pazar günü kripto endüstrisinin Kasım ayında hack’ler ve sömürilerden tahmini 127 milyon dolar kayıp yaşadığını bildirdi. Şirketin aylık tehdit raporu, etkilenen fonların gerçekte 172 milyon doları aştığını ancak yaklaşık 45 milyon doların daha sonra geri kazanıldığını belirtti.