Dünyanın ikinci büyük stablecoin'i olan USDC'nin arkasındaki şirket Circle, bir hacker'ın kendi çapraz zincir altyapısı üzerinden 230 milyon doların üzerinde çalınan USDC'yi aktarması sırasında hareketsiz kaldığı iddiasıyla karşı karşıya. Bu iddia, blok zinciri araştırmacısı ZachXBT tarafından ileri sürüldü; Circle'ın müdahale etmek için yaklaşık altı saati bulunduğu ancak bunu seçmediği söyleniyor.
Çalınan fonlar, 1 Nisan'daki Drift Protokolü istilasından kaynaklanıyor ve şu anda DeFi tarihinin en büyük soygunları arasında yer alan 280-285 milyon dolarlık bir soygun. ZachXBT'in analizine göre, saldırgan, USDC'yi Solana'dan Circle'in Çapraz Zincir Transfer Protokolü (CCTP) kullanarak ethereum'a taşıdı ve bu işlemi 100'den fazla bireysel işlemde gerçekleştirdi. Bu tam olarak gizli bir çıkış değil.
Drift Protokol'ünde ne oldu
Saldırı kendisi son derece verimliydi. DeFi sonrası analizlerinde çoğunlukla dominan akıllı sözleşme hatasından ziyade, haker, Drift Protokolü'nün operasyonel katmanda yönetici izinlerini ele geçirdi. Bunun bir kilit açma işlemi yerine, binanın yöneticisinin ana anahtarını çalmak gibi düşünün.
Tüm sızma işlemi yürütülmesi yaklaşık 12 dakika sürdü. Saldırgan, kalıcı nonceler tarafından kolaylaştırılan önceden imzalanmış işlemler kullandı; bu teknik, çekimleri önceden sıraya alıp hızlı bir şekilde sırayla çalıştırmalarını sağladı. Kimse fark etmeden kasa zaten boşalmıştı.
DRIFT tokenunun tepkisi felaket oldu. Tarihindeki en yüksek seviyesi olan 2,65 dolarından %98 düştü ve sonraki süreçte 0,041 dolar ile 0,06 dolar arasında işlem gördü. Bu, öğle yemeği yemek kadar kısa bir sürede bir hissenin mavi çipsten penny hissesine dönüşmesi gibi bir durumdur.
Toplam kazanç, 280 milyon dolar ile 285 milyon dolar arasında oldu ve bu olayı, şimdiye kadar kaydedilen beş büyük DeFi saldırısından biri yaptı. Ancak kripto topluluğunu en çok heyecanlandıran, saldırı kendisi değil, ardından ne olduğunu, ya da daha doğrusu ne olmadığını yapmak.
Circle'in altı saatlik penceresi
USDC'nin dağıtılmış stablecoin'lerden temel olarak farklı yapan şey, Circle'in bir kill switch'e sahip olmasıdır. Şirket, USDC'yi herhangi bir cüzdana, herhangi bir zamanda, herhangi bir nedenle dondurabilir. Bu özellik tam olarak bu tür durumlar için mevcuttur.
USDC'nin kuruluşundan beri, Circle, genellikle yasal yürütme talepleri veya yaptırımlar uyumu yanıtı olarak, çeşitli cüzdanlarda yaklaşık 110 milyon doları dondurmıştır. Şirket, durumlar bunu gerektirdiğinde hem teknik kapasiteye hem de eylemde bulunma isteğine sahip olduğunu tekrar tekrar göstermiştir.
ZachXBT'e göre, Drift Protokolü'nün istismarı, çalınan fonlar hâlâ taşınırken kamuoyuna duyuruldu ve geniş çapta tartışıldı. Köprüleme faaliyeti, normal iş saatleri içinde gerçekleşti. Circle'in uyumluluk ekibi, teorik olarak, fonların CCTP üzerinden akışı sırasında işlemlerin işaretlenmesini ve dondurulmasını sağlayabilecek tüm fırsatlara sahipti.
Bunun yerine, 230 milyon doların üzerinde çalınan USDC, Solana'dan Ethereum'a müdahale edilmeden geçti. 100'den fazla ayrı işlem. Yaklaşık altı saat boyunca. Bunun durdurulmasında tek yetkiye sahip olan Circle, bunun gerçekleşmesini izlemiş gibi görünüyor.
Circle için bu durumu özellikle tuhaf yapan zamanlamadır. ZachXBT ve diğer gözlemciler, Drift istismarından birkaç gün önce Circle’un endüstride birçok kişi tarafından şüpheli kabul edilen durumlarda diğer cüzdanları hızlıca karaliste üzerine aldığını belirtti. Şirket, motive olduğunda hızlı harekete geçebileceğini gösterdi. Drift olayı, motivasyonun seçici olarak uygulandığını göstermektedir.
Bu, tek bir istismardan daha fazlası için neden önemli
USDC, bazı dar alanlı tokenlerden biri değil. Şubat 2025'te tek başına zincir üzerinde 9,6 trilyon dolarlık işlem hacmi işlemişti. Düzinelerce DeFi protokolü, kredi platformu ve ticaret yerinde temel altyapı olarak hizmet veriyor. Bu kadar büyük bir hırsızlık sırasında bu altyapıyı kontrol eden varlık harekete geçmediğinde, etkiler Drift Protokolü kullanıcıları için sadece bir kötü günün ötesine uzanıyor.
Çekirdek gerginlik, merkeziyete dayalı stablecoin'lerin yaratılmasından beri onları saran bir gerginliktir. USDC'nin dondurma yeteneği, aynı anda en büyük düzenleyici avantajı ve en tartışmalı özelliğidir. Destekçiler, çalınan fonların geri kazanılabilmesi nedeniyle USDC'nin daha güvenli olduğunu savunur. Eleştirmenler ise bunun tek bir hata noktası ve daha kötüsü, tek bir keyfiyet noktası tanıdığını savunur.
Drift olayı, eleştirmenlerin tarafında yer alıyor. Circle, hükümetlerin talebiyle cüzdanları donduruyorsa ancak DeFi tarihinin en büyük çalıntılarından biri sırasında donduruyorsa, dondurma işlevi bir güvenlik mekanizmasından ziyade uyum teatresi bir aksesuar gibi görünmeye başlıyor. İngilizce'de: Yardım etme gücü var, ancak bunu kullanma isteği en iyi durumda tutarsız görünüyor.
DeFi'ye ilgi gösteren kurumsal yatırımcılar için bu, gerçekliğin soğuk bir şokudur. Merkezi stablecoin çıkarıcılarının krizlerde bir yedek görevi göreceği, kontrolün bir hata değil bir özellik olduğu varsayımı artık çok daha az güvenilir görünmektedir. USDC'yi neredeyse sigortalı bir varlık olarak gören risk modelleri gözden geçirilmeye ihtiyaç duymaktadır.
Circle, müdahale etmemenin nedenini kamuoyuna açıkça açıklamadı. Henüz ortaya çıkmamış olabilecek yasal veya prosedürel açıklamalar olabilir. Hatta açık bir hırsızlık sırasında bile, eylem alınmadan önce belirli bir yasama kurumundan talep gelmesini gerektiren dahili protokoller olabilir. Ancak görünüm çok kötü ve kripto dünyasında görünüm ve güven neredeyse aynı şeydir.
Daha geniş düzenleyici tartışma da yön değiştirmeye hazırdır. ABD ve yurt dışında stablecoin mevzuatı üzerinde çalışan yasama organları, denetim çerçevelerini tartışırken bu olayı kaçınılmaz olarak işaret edecekler. Tarihsel olarak 110 milyon dolarlık dondurmaları olan ve kendi protokolüne gerçek zamanlı erişimi olan bir şirket, altyapısı üzerinden 230 milyon doların çalınmasını durduramıyorsa ya da yapmak istemiyorsa, düzenleyiciler uyumluluk sisteminin tam olarak neyi amaçladığını soracaktır.
Ayrıca dikkat edilmesi değerli rekabetçi bir boyut da var. Tamamen merkeziyetsiz DAI gibi alternatif stablecoin modelleri ya da daha yeni teminatlı tasarımlar, kullanıcılar ve protokoller merkezi yayıncı risklerine maruz kalma düzeylerini yeniden değerlendirdikçe popülerlik kazanabilir. Merkeziyetsizliğin savunması her zaman felsefiydi. Şimdi ise 230 milyon dolarlık bir vaka çalışması var.
Drift Protokolü için özellikle önümüzdeki yol karanlık. %98’lik bir token düşüşü sadece kağıt kayıplarını temsil etmiyor. Protokolün hazinesini, mağdurlara tazminat verme yeteneğini ve ileride geliştiricileri veya kullanıcıları çekme kapasitesini yok ediyor. Bu ölçekte bir istismardan kurtulmak nadirdir. Stablecoin vericisinin yardım edebilirken yardım etmediği istismarlardan kurtulmak ise neredeyse harita dışı bir alandır.
Sonuç
Drift Protokolü'nün istismarı kendi başına yıkıcıydı. Ancak, çalınan 230 milyon dolarlık USDC'nin kendi köprü protokolü üzerinden akarken Circle'ın altı saatlik bir sürede görünürde hareketsiz kalması, bu olayı standart bir DeFi hırsızlığı hikayesinden daha temel bir soruna dönüştürüyor. Tüm endüstriyi, merkeziyete dayalı stablecoin çıkarıcılarının olağanüstü çalınmalar sırasında olağanüstü yetkilerini kullanmayacaklarsa, bu yetkiler tam olarak ne için var? sorusuyla yüzleşmeye zorluyor.