Bugün, USDR ve EURR stablecoinlerini ihraç eden akıllı sözleşmelere büyük bir açık (exploit) vurdu. Saldırgan, 16,76 milyon USDR ve 9,11 milyon EURRı yoktan var etti ve ardından bu temelsiz tokenların bir kısmını diğer kripto varlıklarla takas etti.
Bu ölçekten hacklerin rutinleştiğini fark ettiniz mi? Ben her gün kripto haberlerini takip ediyorum ve dürüst olayım: milyonlarca dolarlık bir istismara dair bir başka başlıktan gözlerim hızla geçiyor. Sanki artık olağanüstü bir şey yokmuş gibi!
Oysa her bir saldırının arkasında, birincil tasarruflarını blokzincirler ve kripto paralar üzerinde saklayan sıradan insanların gerçekten yaşadığı sorunlar var.
Bugün, StablR'e (USDR ve EURR'nin ihraççısı) yönelik saldırı devam ederken ve her iki tokenın fiyatı düşmeye başlarken, rabbit.io 2.000 USDR'yi USDT'ye çevirmek için bir talep aldı. Otomatik sistemimiz tüm kontrolleri yaptı: müşterinin adresinin saldırıyla bağlantısı yoktu, USDR'yi neredeyse bir yıldır tutuyordu ve bu takas talebi büyük olasılıkla birinin tasarruflarını kurtarmaya çalıştığını gösteriyordu. Talebi o anda geçerli oran üzerinden işledik ve müşteri yalnızca %1'dan biraz fazla kaybetti — oysa dakikalar içinde USDR fiyatı %25 düştü ve panik sırasında neredeyse 0,40 $'a geriledi.
Ancak birkaç saat sonra aynı müşteri ek 50.000 USDR için takas talep ettiğinde, kendisine artık önemli kayıplar olmadan bir takas sunamazdık.
Gerçekte Ne Oldu?
Bugün 01:46 UTC'de, ZachXBT'nin Telegram'daki investigations kanalı StablR'in akıllı sözleşmelerinde yaklaşık 10 milyon dolarlık olası bir istismar hakkında bir mesaj paylaştı.
Daha sonra, hackerların StablR'in yeni token basmaktan sorumlu multisig adresinin sahiplerinden birinin özel anahtarını ele geçirdiği ortaya çıktı. Sorunu çok daha kötüleştiren şey son derece düşük bir güvenlik eşiğiydi: üç kullanılabilir özel anahtardan sadece bir tanesi herhangi bir işlemi yetkilendirmeye yetiyordu. Başka bir deyişle, burası aslında gerçek bir multisig değildi. Multisig'in tüm amacı bir işlemi gerçekleştirmek için birden fazla imzanın gerekli olmasıdır. Burada ise yalnızca bir imza yeterliydi — herhangi tek bir imza iş görüyordu. Böyle bir "multisig" adresin güvenliğini artırmaz; aksine üç kat azaltır. Hackerlar ele geçirilen anahtarı kullanarak milyonlarca USDR ve EURR tokenını yoktan bastılar.
StablR ekibinin muhtemelen Avrupa'da olması nedeniyle, olay Cumartesi ile Pazar arasındaki gecenin ortasında gerçekleşti ve saldırı birkaç saat sürdü. Son 900.000 yetkisiz EURR tokenı 04:03 UTC'de ağa girdi.
Her iki tokenın arzı dramatik şekilde artarken — ve elbette hemen piyasaya sürülürken — USDR ve EURR fiyatları sert düştü ve henüz toparlanmadı.
Bu Tokenler Nedir ve Kim Kullanıyor?
USDR (StablR USD), Ethereum ağında çalışan ve ABD dolarına 1:1 sabitlenmiş fiat destekli bir stablecoindir. Avrupa merkezli fintech şirketi StablR tarafından ihraç ediliyor; şirket Elektronik Para Kurumu (Electronic Money Institution, EMI) olarak kayıtlı ve Malta Finansal Hizmetler Otoritesi (MFSA) tarafından düzenleniyor; ayrıca Hollanda'da ofisleri bulunuyor. EURR aynı şirketin euroya sabitli stablecoin'idir.
2024 sonlarında StablR, Tether'dan (USDT'nin ihraççısı) bir yatırım aldı; bu yatırım, MiCA düzenlemesi yürürlüğe girdikten sonra Tether'in Avrupa kripto pazarında tutunma arayışının bir parçasıydı — zira bu kurallar Avrupa'da kayıtlı şirketlerin USDT kullanmasını fiilen imkansız hale getiriyor.
Müşterimizin elinde tuttuğu USDR hakkında biraz daha söyleyeyim. On milyarlarca dolar hareket ettiren devler olan USDT ve USDC ile karşılaştırıldığında, USDR çok küçük bir proje. Dünkü 16,76 milyon temelsiz token basımının ardından dolaşımdaki toplam USDR arzı, Etherscan'e göre 21.076.437 seviyesinde. Bu da demek oluyor ki bugünkü saldırıdan önce piyasa değeri 5 milyon doların altındaydı.
Peki neden biri USDT veya USDC yerine bunu seçer? Sebep şu: StablR tokenlarını özellikle MiCA uyumluluğu için tasarladı. Hukuki açıdan tamamen şeffaflardı:
- Fiat teminatı düzenlenmiş Avrupa bankalarında ayrılmış hesaplarda tutuluyor.
- Büyük denetim firmaları tarafından düzenli denetimlere tabi tutuluyorlar (örneğin Grant Thornton).
Muhtemelen müşterimiz — en az 52.000 USDR tutuyordu — ya bir AB sakiniydi ya da Avrupa hukuki çerçevesi içinde operasyon yapıyordu. Onun için USDT değil, vergiler veya bankalarla sorun yaşamamak adına "temiz", kanıtlanabilir şekilde yasal ve düzenleyici onaylı bir varlık kullanmak önemliydi.
Ve bugün, StablR'in teknik güvenlik hatası nedeniyle, aynı kullanıcı varlıklarını acilen yasal ya da operasyonel kesinlik sunmayan USDT'ye taşımaya karar verdi. Bu süreçte önemli miktarda para kaybetti. Ne lisanslar ne de ihraççının finansal denetimleri müşterimizi zarardan korumaya yetmedi.
Peki Bu Kripto Varlıklar Güvenilmez Çıkarsa Ne Yapmalıyız?
Uzun zamandır hükümetlerin ve onların denetlediği bankaların insanları geleneksel finansal sistemden uzaklaştırıp tasarruflarını blokzincirlere, yani kimsenin kolayca el koyamayacağı bir yere koymaya ittiğinden yazıyorum.
Ancak son aylarda gördüğümüz sürekli hack dalgası, bu tür bir saklamanın ne kadar riskli olabileceğini gösteriyor. Birçok kripto kullanıcısının tasarruflarını tekrar bankalara mı taşımalarının zamanı gelip gelmediğini düşünmeye başlamasına şaşırmam. Bankalar transferlerinizi sansürleyebilir, ödemelerinizi engelleyebilir, nakit vermeyi reddedebilir — ama en azından kripto projeleri kadar sık soyguna uğramıyorlar.
Çoğu kripto servisin teknik tarafı tamamen açık kaynaklı. Ve şimdi zafiyet araştırmaları, giderek daha akıllı hale gelen yapay zeka modelleri tarafından 7/24 yürütülüyor; bu dalganın devam etmesini ve hatta hızlanmasını beklemeliyiz. Hacklenebilecek her şey hacklenecektir.
Bu, kripto paraları tamamen terk etme zamanı mı demek? Hayır. Ama en azından geçici olarak, kripto üzerine kurumsal katmanlar ekleyen projelere olan bağlılığımızı azaltmanın mantıklı olduğunu düşünüyorum. Tam da bu tür yapılar hackleniyor, kriptoların kendisi değil. Bitcoin'in temel protokolü 17 yılda bir kez bile hacklenmedi — çünkü mimarisi fiziksel olarak ayrıcalıklı sahipler, basma düğmeleri veya uyuyan bir ekipten çalınabilecek yönetici anahtarları içermiyor.
Bir varlık saf, merkeziyetsiz matematikten ne kadar uzaklaşıp insan kontrolüne doğru giderse, o kadar savunmasız hale gelir. Bu yüzden Ethereum bile — Ethereum Vakfı'nın merkezi etkisiyle her hard fork'ta kuralları yeniden yazabilmesi nedeniyle — güvenilirlik için bir kıstas olamaz. Gerçekten güvenli saklama, kuralları kendi lehine değiştirme yetkisine sahip hiçbir merciin olmadığı yerde vardır.
Bunu kripto kullanan herkes biliyor diye düşünüyorum. Yine de günlük saklama ve sıradan işlemler için çok az insan bitcoin gibi kripto paraları kullanıyor. Fiyatlar fiat cinsinden ifade edildiği sürece, herkes cüzdanındaki bakiyenin de fiat olarak sabit olmasını istiyor — böylece yarın ellerinde bugün olduğundan %10–15 daha az para olması sürpriz olmasın.
Peki sıradan bir kullanıcı, hâlâ doların tanıdık istikrarına ihtiyaç duyuyorsa ne yapmalı? Açıkçası, iyi bir cevabım yok. Müşterimiz bugün kendi kararını verdi: USDR'nin tehlikesini fark edip fonlarını USDT'ye taşımaya karar verdi. USDT on yılı aşkın süredir var. Evet, ihraççı kuralları istediği an yeniden yazabilir, ama tüm o yıllarda bu olasılığı istismar edecek bir yol henüz bulunamadı.
En garip olanı şu: piyasada yüz milyonlarca tamamen teminatsız USDT dolaşırken bile tokenın fiyatı etkilenmedi. Tether piyasaya bir milyar USDT daha sürdüğünde kimse soru sormuyor. Tüm tutucular ihraççıya gidip tokenları karşılığında dolar talep edemeyeceklerini biliyorsa, tokenların teminatlı olup olmaması ne fark eder? USDT, ne olursa olsun piyasada her zaman 1 USDT için 1 USD değerinde varlık verecek biri olacağı inancına dayanıyor. Bu inancın herhangi bir hackten sağ çıkabileceğini hayal edebiliyorum.
Daha genç stablecoinler henüz kendilerine aynı güven havasını inşa edecek kadar inanan toplamamış durumda.
Dolayısıyla, paradoksal olarak, mümkün olduğunca merkeziyetçi ve tek bir ciddi denetimden bile geçmemiş bir stablecoini seçmek tamamen rasyonel bir karar olabilir.
Diğer seçenek, Liquity USD, crvUSD ve DAI gibi stablecoinler. Tasarım gereği bu sözleşmeler değiştirilemiyor ve teminatı sahteleyebilecek veya geri vermeyi reddedebilecek merkezi bir ihraççı yok. Bu akıllı sözleşmeler henüz hacklenmedi. Yine de bu, mevcut hesaplama gücü ve bilgisiyle AI modellerinin prensipte bunları kırma yolunu bulamayacağı anlamına gelmiyor.
Bu yüzden hâlâ inanıyorum ki fiat'a sabitlenmiş kripto varlıklar yalnızca günlük harcamalar için uygun, geçici bir çözüm olabilir. Servetin gerçek saklanması için tek çözüm Bitcoin ve ona benzeyen kripto paralardır.
