Haberler 
Coin Bilgisi 
Hakkımızda 
13’ünde (yerel saatle), blokzincir güvenlik şirketi TRM Labs’in raporuna göre *Token of Power(TOP)* protokolünden yaklaşık 1,58 milyon dolar değerinde Ethereum(ETH) tabanlı varlık sızdırıldı. Saldırgan, ‘timelock’ mekanizmasının bulunmadığı *yönetişim* yapısını kötüye kullanarak aynı blok içinde teklif oluşturma, oylama ve yürütme adımlarını peş peşe tamamladı ve bu sayede protokol varlıklarını ele geçirdi.
TRM Labs’in on‑chain analizine göre saldırgan, ilk olarak Tornado Cash’ten çektiği 662 ETH ile harekete geçti. Bu ETH’ler kullanılarak yeterli miktarda TOP token toplandı ve *oy hakkı* elde edildi. Ardından saldırgan, akıllı sözleşme üzerinden 10 milyar adet yeni TOP token bastı ve bu yeni basılan token’ları Balancer havuzunda WETH ile takas etti. Elde edilen WETH daha sonra yeniden Tornado Cash’e aktarıldı. ‘yorum’ Bu yapı, iz sürmeyi zorlaştırmak için klasik bir zincir üstü para aklama pattern’ine benziyor. ‘yorum’ Tornado Cash’in kendisi saldırıya uğramadı; yalnızca fon tedariki ve iz gizleme amacıyla kullanıldı.
Bu olay, ‘timelock’ içermeyen DAO tabanlı yönetişim modellerinin saldırganlar için kolay hedefe dönüşebileceğini bir kez daha ortaya koyuyor. Timelock, bir teklifin onaylanmasından hemen sonra yürürlüğe girmesini engelleyen ve araya süre koyan bir mekanizma. Böylece kullanıcılar, geliştiriciler ve güvenlik ekipleri, şüpheli teklifleri inceleyip topluluğu uyarmak veya acil durum önlemleri almak için zaman kazanıyor. Ancak *Token of Power* örneğinde olduğu gibi, bu tür bir geciktirme mekanizması yoksa kötü niyetli bir teklif, tek bir blok içinde onaylanıp uygulanabiliyor ve bu da doğrudan *varlık kaybına* yol açabiliyor.
DeFi ekosisteminde güvenliğin yalnızca *akıllı sözleşme kodu* ile sınırlı olmadığı, bu tür vakalarla daha net görülüyor. Yönetişim koşulları, hazinenin nasıl kontrol edildiği, oylama eşikleri ve yetki dağılımı da en az kod kadar kritik risk faktörleri arasında. Piyasada çoğu zaman dikkat fiyat dalgalanmalarına ve kısa vadeli getirilerde toplansa da, gerçek kayıplar çoğunlukla protokolün *tasarımındaki zafiyetlerden* kaynaklanıyor. ‘yorum’ Kod denetimi (audit) geçmiş olmak, kötü tasarlanmış bir yönetişim mekanizmasını otomatik olarak güvenli hale getirmiyor. ‘yorum’
Sonuçta bu olay, DeFi dünyasında “protokol tasarımı = güvenlik” denklemini yeniden hatırlatıyor. TRM Labs’in hazırladığı ayrıntılı zincir üstü izleme ve güvenlik analizi, piyasada haber akışını yorumlarken teknik raporların neden bu kadar önemli referans haline geldiğini gösteriyor. Önümüzdeki dönemde, çalınan fonların zincir üzerindeki ek hareketleri, köprüler veya merkezi borsalar üzerinden çıkış girişimleri ve protokol ekibinin alacağı *yönetişim reformu* niteliğindeki önlemler, yatırımcılar ve güvenlik araştırmacıları için yakından izlenecek başlıca gelişmeler olacak.
Yorum 0