Trubit protokolündeki akıllı kontrat açığı 26 milyon dolarlık kayba yol açtı

Trubit adlı zincir üstü hesaplama protokolü, akıllı kontratındaki bir açık nedeniyle yaklaşık 26 milyon dolarlık (yaklaşık 383 milyar Kore wonu) kayba uğradı. Güvenlik şirketi SlowMist’e göre, bu olay eski bir Solidity derleyici sürümünde bulunan tamsayı taşması (overflow) hatasından kaynaklandı.

Cointelegraph’ın 9’unda (yerel saatle) aktardığına göre, Trubit yaşanan saldırı sonucunda temel tokeni olan TRU’nun değerinde yüzde 99’luk bir düşüş yaşadı. SlowMist tarafından yayımlanan güvenlik raporunda, saldırganın akıllı kontrattaki mantıksal bir zayıflığı kullanarak neredeyse sıfıra yakın Ethereum(ETH) maliyetiyle yüksek miktarda TRU tokeni ‘basabildiği’ belirtildi.

‘Purchase’ kontratında taşma önlemi bulunmayan tamsayı toplama işlemi kullanıldığına dikkat çekilirken, bu hata nedeniyle mint fiyatı hesaplamasında ciddi bir sorun oluştu ve gerekli ETH miktarı neredeyse sıfıra düştü. Saldırgan bunu kullanarak neredeyse bedavaya TRU token bastı ve kontrattaki tüm varlıkları çekip aldı.

SlowMist ayrıca, ilgili kontratın Solidity 0.6.10 sürümünde derlendiğini ve bu sürümde tamsayı taşmalarını otomatik olarak tespit eden bir mekanizmanın bulunmadığını belirterek, ‘uint256’ tipindeki bir sayının maksimum değeri aşıldığında değerin sıfıra yakın bir seviyeye ‘sarma (wrap around)’ yaparak hataya yol açtığını vurguladı.

Bu olay, uzun süredir devam eden projelerde bile temel güvenlik kontrollerinin eksik olmasının milyarlarca dolarlık kayıplara neden olabileceğini bir kez daha gözler önüne serdi.

Öte yandan, ABD senatörleri Cynthia Lummis ve Ron Wyden, blokzincir geliştiricilerini korumayı amaçlayan ‘Blokzincir Düzenleyici Açıklık Yasası (BRCA)’ adlı yeni bir yasa tasarısı sundular.

Tasarı, kullanıcı fonlarına doğrudan erişimi olmayan yazılım geliştiricilerine veya ağ operatörlerine eyalet veya federal düzeyde para transferi lisansı gerekliliklerinin uygulanmamasını öngörüyor.

Senatör Lummis, “Mevcut belirsiz düzenleyici ortam, yeniliğin ülke dışına çıkmasına neden oluyor ve zararsız yazılımcılar bile kara para aklama suçlaması riskiyle karşı karşıya kalıyor” diyerek, bu yasayla geliştiriciler korunurken ABD içinde dijital finans sektörüne zemin hazırlanacağını ifade etti.

Gerçekten de geçtiğimiz yıl, karıştırma protokolü Tornado Cash’in kurucu ortakları Roman Storm ve Alexey Pertsev, yetkisiz para aktarma faaliyeti yürütmekten suçlu bulunmuştu. Bu durum, açık kaynak geliştiricilerinin cezai yaptırımlara maruz kalabileceği ihtimalini gündeme taşıdı.

Son olarak, Başkan Trump’ın ailesiyle ilişkilendirilen bir merkeziyetsiz finans (DeFi) projesi olan World Liberty Financial, kripto para kredi piyasasına güçlü bir giriş yaptı.

Bloomberg’ün haberine göre platform, kısa süre önce World Liberty Markets adında yeni bir zincir üstü kredi hizmeti başlattı. Bu platform, Trump bağlantılı stabil kripto para USD1 ile yönetişim tokeni WLFI’yi temel alıyor. Kullanıcılar Ethereum(ETH), Bitcoin(BTC), USD Coin(USDC), Tether(USDT) gibi dijital varlıkları teminat göstererek borç alabiliyor veya mevduat yatırabiliyor.

Projenin kurucu ortaklarından Zak Folkman, Bloomberg’e verdiği demeçte “İlerleyen dönemde reel varlık temelli tokenler de teminat havuzuna dahil edilecek ve tahmin piyasaları, borsalar, gayrimenkul platformlarıyla stratejik ortaklıklar kurulacak” dedi.

World Liberty şu anda ABD Para Birimi Denetleme Ofisi’ne (OCC) ‘ulusal tröst bankası şartı’ için başvurmuş durumda. Onayın gelmesi halinde USD1’in yasal güvenilirliği güçlenerek, sınır ötesi ödemelerden kurumsal finansmana kadar pek çok alanda kullanım alanı genişleyebilir.

Bu girişim, düzenleyici netliğin artmasıyla birlikte zincir üstü finansın canlanma potansiyelini gözler önüne sererken, Trump’ın etrafındaki kripto projelerinin yeniden gündemin ön sıralarına taşınmaya başladığının da bir işareti olarak yorumlanıyor.