9 Ocak 2026 tarihinde Truebit, akıllı sözleşmesindeki bir güvenlik açığının istismar edilerek yaklaşık 8.535 ETH'nin çalındığını ve ihlalin o sırada yaklaşık 26,6 milyon dolar değerinde olduğunu ortaya koyan ciddi bir güvenlik olayı duyurdu. Sızma, protokolün getPurchasePrice işlevindeki fiyatlandırma mantığını hedef alarak saldırganın TRU tokenlerini sıfır maliyetle basmasını ve bunları bağ kur eğrisi mekanizmasıyla ETH'ye dönüştürmesini sağlayarak sözleşmenin rezervlerini hızla bir alım-satım döngüsü içinde tüketti.
Truebit'in resmi kanalları X'teki bir paylaşımda olayı doğruladı: “Bugün, bir veya daha fazla kötü niyetli aktörü içeren bir güvenlik olayı hakkında bilgi sahibi olduk. Etkilenen akıllı sözleşme 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2'dır ve kamuya bu sözleşmeyle etkileşimde bulunulmaması yönünde kuvvetli bir tavsiyede bulunuyoruz. Yetkililerle iletişim halindeyiz.”
Lookonchain gibi blok zinciri dedektiflerinin yaptığı zincir üstü analizler, çekilen toplam miktarın başlangıçta işaretlenen bakiyeyi aştığını ve hırsızlığın tamamının kapsamını saklamak için birden çok işlemin kullanıldığını ortaya koydu. PeckShield verileri, çalınan ETH'nin çoğunun izleri gizlemek amacıyla Tornado Cash üzerinden yönlendirilmeden önce tek bir adrese toplandığını doğruladı. Saldırgan ayrıca yaklaşık 300.000 dolar değerinde TRU tokeninin ikincil bir boşaltmasını da gerçekleştirdi.
Piyasa tepkisi anında ve şiddetli oldu. Nansen verilerine göre TRU’nun fiyatı yaklaşık 0,16 dolardan bir kuruşa geriledi ve 24 saatten daha kısa sürede piyasa değerinin neredeyse tamamını sildi. Panik satışlar nedeniyle işlem hacmi arttı; birçok yatırımcı herhangi bir fiyatta pozisyonlarını satamadı.
Bu ihlal, Flow’un sahte token istismarı ve Trust Wallet Chrome uzantısı hack’i gibi olayların ardından 2025 sonlarında görülen önemli olaylardan sonra 2026’nın başlarında görülen en büyük DeFi istismarlarından biri olarak görülüyor. Kasım 2025’te 194 milyon dolar olan toplam hack kayıplarının Aralık’ta 76 milyon dolara düşmesine rağmen, yüksek profilli hackler, akıllı sözleşme kodlarındaki sürekli güvenlik açıklarını ve sıkı güvenlik denetimlerinin gerekliliğini bir kez daha vurgulamaya devam ediyor.
Truebit geliştirme ekibi ilgili tüm sözleşmeleri durdurdu, dahili bir soruşturma başlattı ve tam bir teknik otopsi yapmak için üçüncü taraf adli bilirkişileri görevlendirdi. Çalınan fonların kısmi olarak geri kazanılması yönündeki çabalar sürüyor; ancak ihlalin merkeziyetsiz doğası ve gizlilik karıştırıcılarının kullanımı, izi sürmeyi ve geri alınmasını zorlaştırıyor. Bu arada kullanıcılar ve geliştiriciler DeFi protokolleri için risk yönetimi uygulamalarını yeniden değerlendiriyor; resmi denetimlerin, hata ödülü programlarının ve zaman kilitlemeli yükseltme mekanizmalarının gelecekteki istismarları engellemek için önemini vurguluyorlar.
Yorumlar (0)