US Permissionless Dollar (USPD) isimli stablecoin projesi yaklaşık 1 milyon dolarlık açık sonrası en sıkıntılı günlerini yaşadı. Sansüre dayanıklı, stETH teminatlı ve tamamen Blockchain tabanlı bir kripto para birimi olarak tanıtılan proje, yetkisiz basım ve likidite boşaltma saldırısıyla sarsıldı. PeckShield ekibi 5 Aralık 2025 tarihinde X’ten bir açıklama yaparak saldırıyı ortaya çıkardı ve USPD’nin internet sitesinde büyük harflerle “DO NOT BUY USPD” uyarısı yer aldı. Ola, akıllı sözleşme güvenliğine inanan kripto para topluluğunda yeni bir itibar tartışması başlattı.
USPD’nin Hedeflediği Model ve Vaatler Neydi?
USPD tasarımı kullanıcıların stETH yatırdıktan sonra karşılığında teminatlı ve denetlenebilir dolar birimi basmasına izin verdi. Klasik saklama kurumları devre dışı kaldı. KYC süreci işlem akışından çıkarıldı ve tüm mekanizma denetimli akıllı sözleşmeler üzerinden işledi.
Model, hem şeffaf rezerv yapısı hem de stETH getirisinin dolara yansıtılması sayesinde çekici bir pasif gelir vaadi sundu. Merkeziyetsizlik vurgusu kripto para piyasası içinde özellikle regülasyon baskısından kaçınmak isteyen kesim için cazip bir alternatif oluşturdu.
Saldırının İşleyişi ve Ortaya Çıkışı
Proje ekibine göre açık CPIMP adı verilen ve proxy katmanını hedef alan nadir bir saldırı tekniği ile hayata geçti. Saldırgan 16 Eylül 2025 tarihli Multicall3 işlemi ile proxy ilk kez devreye alındıktan hemen sonra yönetici haklarını ele geçirdi. Gölgede çalışan sahte bir uygulama yerleştirdi.
Etherscan üzerinde denetimden geçmiş sözleşme görünümü kaldı ancak arka planda saldırganın yerleştirdiği mantık çalıştı. Aylar boyunca yetkisiz USPD basımı sürdü ve saldırgan yavaş yavaş havuzlardaki parayı çekti. PeckShield ekibi olağan dışı basım hareketlerini inceledi. Parasal akışın boşalmasını tespit etti. İlgili adresi merkezi borsalar ile DEX platformlarında işaretledi.
Kayıplar Sonrasında Neler Yapılacak?
USPD tarafından paylaşılan tahmine göre zarar tutarı yaklaşık 1 milyon dolar seviyesinde kaldı. Yine de akıllı sözleşme denetim süreçlerine güvenen kripto para yatırımcılarının gözünde yara büyüdü ve proje markası ciddi darbe aldı.
Ekip, saldırgana yönelik şartlı bir beyaz şapka teklifi sundu ve fonların iadesi karşılığında yüzde 10 ödül vadetti. Fonlar iade edildiği takdirde resmi şikayet kanallarının geri çekileceği açıklandı. Topluluğa riskin ciddiyeti tekrar hatırlatıldı. USPD vakası, proxy mimarisi kullanan DeFi projeleri için yeni bir uyarı örneği oluşturdu. Ayrıca yönetişim katmanının ne kadar kırılgan kalabildiğini gösterdi.