2026'nın İlk Büyük Hack'i: Truebit Protokolü Akıllı Sözleşme Güvenlik Açığı Nedeniyle 26,4 Milyon Dolar Kaybetti

Bu, 2026'nın belgelenmiş ilk büyük DeFi hack'i olup, Ethereum ekosisteminde uzun bir geçmişe sahip projeler için bile devam eden güvenlik risklerini vurgulamaktadır. CertiK verilerine göre, şüpheli işlemler dün, 8 Ocak'ta tespit edildi ve bilgisayar korsanı eski bir akıllı sözleşmedeki bir açıktan yararlanarak başarılı bir şekilde para çekti.

Truebit Protokolü, ağ katılımcılarını teşvik etmek için TRU tokenini kullanan Ethereum üzerinde hesaplamaları doğrulamaya yönelik bir platformdur. Proje 2020'den beri varlığını sürdürüyor, ancak güvenlik açığı, uygun denetim veya güncellemelerden geçmeyen eski bir sözleşmede (adres: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2) gizliydi. Saldırı sonucunda TRU tokeninin fiyatı neredeyse%100 oranında düşerek 0,16$'dan neredeyse sıfıra (0,0000000029$) geriledi ve projenin piyasa değeri ve likiditesi yok oldu.

Hack Tam Olarak Nasıl Gerçekleşti?

Açık, akıllı sözleşmenin getPurchasePrice() işlevindeki bir taşma hatasına dayanıyordu. Bu işlev, toplam token arzını, ETH rezervini ve kullanıcının satın almak istediği miktarı içeren bir formüle dayalı olarak TRU token basma (oluşturma) fiyatını hesaplar. Spesifik olarak:

• Formül, v9 = 200 * total_supply * amount * reserve ve v12 = 100 * amount * amount * reserve gibi değişkenleri hesaplar.
• Daha sonra v9 + v12 toplanır ve sonuç başka bir değişkene (v6) bölünür.
• Sorun "miktar" parametresinin büyük değerlerinde ortaya çıkar: v9 + v12 toplamı 256 bitlik bir tamsayı için maksimum değeri (2^256) aşar ve taşmaya neden olur. Solidity'de (Ethereum için akıllı sözleşme dili) bu, değeri küçük bir sayıya çevirerek token fiyatını neredeyse sıfır yapar.

Bilgisayar korsanı, minimum maliyetle (neredeyse bedavaya) sınırsız sayıda TRU token basmak için büyük bir "miktar" değeri girerek bu durumdan faydalanmıştır. Bu tokenlar daha sonra Uniswap veya benzeri platformlardaki likidite havuzlarında satılarak protokolün rezervlerinden ETH ile takas edildi. Süreç bir döngü halinde tekrarlandı: para basma > satış > ETH boşaltma. Birincil bilgisayar korsanı (adres: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) ana miktarı alırken, ikincisi yaklaşık 250.000 $ aldı.

İlginç bir şekilde, bilgisayar korsanları büyük vurgun yapmadan önce birkaç ay boyunca(2.000 ila 15.000 $ arasında) küçük test saldırıları gerçekleştirdiler.

Truebit ekibi olayı doğruladı ve kullanıcılara savunmasız sözleşme ile etkileşime girmekten kaçınmalarını tavsiye etti. Bir soruşturma için kolluk kuvvetleriyle işbirliği yapıyorlar, ancak DeFi hack'lerinde sıklıkla olduğu gibi fonları kurtarma şansı düşük. Lookonchain ve Cyvers analistleri, bunun eski koddaki bir güvenlik açığının tipik bir örneği olduğunu belirtiyor: eski sözleşmeler genellikle göz ardı edilir, ancak bilgisayar korsanları için çekici bir hedef olmaya devam eder.

Pazar Etkileri

Bu hack, 2026'da DeFi'ye vurulan ilk ciddi darbe oldu ve bize "köklü" projelerde bile güvenlik açıkları olduğunu hatırlattı. 2025'te kriptodaki hack'lerden kaynaklanan toplam kayıp 2 milyar doları aştı ve bu eğilim devam ediyor. Yatırımcılara sözleşme denetimlerini kontrol etmeleri ve daha az bilinen protokollerden kaçınmaları tavsiye edilir. Truebit'in toparlanması pek olası değil, ancak bu olay sektörde düzenli denetimler ve yeni sözleşmelere geçiş gibi daha iyi güvenlik uygulamalarını teşvik edebilir.