Yazar: Şen Çay TechFlow
1 Nisan, April Fools' Günü.
Solana zincirindeki en büyük sürekli sözleşmeler borsası Drift Protocol boşaltılıyor ve topluluk ilk tepkisi, "Harika bir Nisan Havası şakası."
Bu bir şaka değil. 13:30 sıralarında, zincir üzerindeki izleme hesapları Lookonchain ve PeckShield neredeyse aynı anda alarm verdi: "HkGz4K" ile başlayan tanımlanamayan bir cüzdan, Drift'in kasanından şaşırtıcı bir hızla varlıkları çekiyordu. İlk olarak, 155 milyon dolar değerindeki 41 milyon JLP tokeni. Hemen ardından, 51,6 milyon USDC, 125 bin WSOL, 164 bin cbBTC... Onlarca varlık, tıpkı tıka basa dolu bir banyoda tıkaç çekildiğindeki gibi hızla dışarı akıyordu.
Bir saat içinde kasa varlıkları 309 milyon dolarlık seviyeden 41 milyon dolara düştü. TVL'nin yarısından fazlası buharlaştı.
Drift ekibi, X üzerinde nadiren görülen bir aciliyetle bir tweet attı: "Drift Protocol, aktif bir saldırıya maruz kalıyor. Yatırımlar ve çekimler durduruldu. Durumu kontrol altına almak için birkaç güvenlik firması, çapraz zincir köprüleri ve borsa ile koordinasyon içindeyiz."
Şu da, kripto tarihine yazılacak olan söz: "Bu bir Nisan Şakası değil."
Bir anahtar, tüm kapıları açtı
Drift'in çalınan dijital varlık miktarı, kaynaklara göre farklılık gösteriyor. PeckShield, yaklaşık 285 milyon dolar olarak tahmin ediyor; Arkham, 250 milyon doların üzerinde bir miktar veriyor; CertiK'in ilk değerlendirmesi ise yaklaşık 136 milyon dolar civarında. Ancak hangi rakam geçerli olursa olsun, bu 2026 yılına kadar yaşanan en büyük DeFi güvenlik olayıdır.
Daha da önemlisi, saldırı yöntemi.
PeckShield kurucusu Jiang Xuxian, Decrypt'e açıkça şunu söyledi: Drift'in arka planındaki yönetici anahtarı "açıkça sızdırıldı ya da ele geçirildi." Zincir üzerindeki araştırmacılar, saldırganların Drift protokolüne özel erişim elde ederek kasa fon akışlarını kontrol ettiğini gösteren bir saldırı senaryosu oluşturdu.
Yani, ince bir akıllı sözleşme açığı kullanma, hırsızlık kredisi saldırısı ya da veri kaynağı manipülasyonu yok. Sadece en temel, en eski güvenlik hatası: kimse anahtarı kaybetti.
Daha da endişe verici detay, saldırganın anlık karar vermediğidir. Zincir üzerindeki veriler, bu cüzdanın saldırıdan 8 gün önce Near Intents aracılığıyla başlangıç fonlarını aldığını ve ardından sessiz kalacağını gösteriyor. Saldırıdan bir hafta önce, 2,52 dolarlık küçük bir transfer bile Drift kasanından aldı. Bir deneme, bir “çalma”.
Bir hafta sonra kapı kırıldı.
Kripto versiyon Robinhood'un düşüşü
Drift'in ortak kurucusu Cindy Leow için, 1 Nisan'daki korku, özellikle acımasız bir zeminle karşılaştı.
Bu Malezyalı Çinli girişimcinin hikayesi, Solana DeFi'nin en iyi ilham verici öykülerinden biriydi. 2016'da Güney Kore ve Çin'de bitcoin arbitrajı ile başlayıp kendi fonunu yönetti, Ethereum üzerinde türev ürünler projeleri geliştirdi, 2021'de David Lu ile birlikte Drift'i kurarak Solana'nın hız avantajını kullanarak zincir üstü sürekli sözleşmeler üzerine yatırım yaptı.
Zaman çizelgesine bakıldığında, Drift neredeyse her dalgayı tam olarak vurdu. 2024 yılında Polychain ve Multicoin’in öncülük ettiği iki tur sermaye topladı ve toplamda 52,5 milyon dolar elde etti. Polymarket’e meydan okumak için tahmin pazarını sundu, 50 kat kaldıraçlı işlem sunumunu başlattı, TVL 5,5 milyar doları aştı ve toplam işlem hacmi 50 milyar doları geçti. Leow, Fortune ile yaptığı röportajda, "kripto Robinhood" olma hedefini büyük bir hevesle belirtti.
Bu benzetme şimdi karışık hisler uyandırıyor. Robinhood'un temel taahhüdü, sıradan insanların Wall Street'in finansal araçlarına erişmesini sağlamaktır. Drift'in temel taahhüdü ise kullanıcıların zincir üzerinde "müdahale edilmemiş" bir işlem deneyimi elde etmesini sağlamaktır; paranız hiçbirinin elinden geçmeden yalnızca kodla etkileşime girer.
Ancak kodun arkasında bir yönetici anahtarı bulunuyor. Ve bu anahtarın güvenliği nihayetinde kriptografi değil, insanlara bağlıdır.
Burada sinirleri yakan bir tarihsel paralellik daha var. 2022 yılında Drift v1 dönemi, kasa boşaltılma olayını yaşamıştı. Takım, olaydan sonra son derece detaylı bir teknik rapor hazırladı ve saldırganın nasıl bir işlemde tüm kasanın boşaltıldığını gösteren bir kanıt-çalışması kodu dahi paylaştı. O olayın zararı 14,5 milyon ABD dolarıydı ve takım, kullanıcıların tamamını kendi cebinden tamamen tazmin etti.
Dört yıl sonra, aynı kabus 20 kat büyüklükte tekrarlandı.
Merkeziyetsiz inanç, merkezi zayıf nokta
Drift'ten biraz uzaklaşın, ortaya çıkacak rahatsız edici bir pattern.
2025 yılının başlarında, Resolv Labs'in AWS anahtar yönetimi hizmeti ele geçirildi ve saldırganlar, ayrıcalıklı anahtarlarla büyük ölçekli USR kararlılık jetonu üretimi onayladı; bu da çoklu platformlarda zincirleme kayıplara neden oldu. Aynı yıl, 2025 boyunca kripto para çalıntılarının toplam tutarı, Chainalysis raporuna göre 3,4 milyar ABD doları ile tarihte en yüksek seviyeye ulaştı ve rapor özellikle bir eğilim değişikliğini vurguladı: en yıkıcı olaylar, altyapı düzeyinde gerçekleşti. Ele geçirilen geliştirici makineleri, bulutta saklanan tek bir üretim anahtarı, sosyal mühendislikle hedef alınan imza süreçleri, gerçek olarak fonları yutan kara deliklerdi.
Drift'i şimdi ekleyin.
Bu örnekleri yan yana getirdiğinizde, neredeyse kaçınılmaz bir sonuç ortaya çıkar: Özel anahtar güvenliği, DeFi'nin en büyük sistemik riski olarak akıllı sözleşme açıklarını yerini almıştır.
Burada onlarca milyar doları yiyebilecek kadar büyük bir algı boşluğu var.
DeFi protokollerinin dışa vurduğu hikaye "merkeziyetsizlik", "tamamen kullanıcı kontrolü" ve "güven gerekmez". Varlıklarınız kod tarafından korunur ve hiçbir ara taraf paranıza dokunamaz. Kullanıcılar bu hikayeyi kabul edip paralarını bu protokollere yatırır ve "Ben matematikle iş yapıyorum" diye düşünür.
Ancak gerçek, çalışan neredeyse tüm DeFi protokollerinin bir veya birkaç "Tanrı Anahtarı"na sahip olmasıdır: admin anahtarı, yükseltme yetkisi, kasa kontrolü, acil durdurma anahtarı. Bu anahtarların varlığı bazen güvenlik için (sorun oluştuğunda acil durdurma), bazen esneklik için (akıllı sözleşme mantığını yükseltme) vardır, ancak temel özellikleri aynıdır: merkezi bir güven noktası, merkeziyetsiz bir hikâyeye sarılmıştır.
Kullanıcılar, kodla etkileşimde bulunduklarını düşünüyorlar. Aslında, birinin ya da küçük bir grubun hata yapmayacağını, korsan saldırılarına uğramayacağını, zorlanmayacağını ve gece yarısı dizüstü bilgisayarını kafede unutmayacağını güvene dayanıyorlar.
Bu, Drift'a özgü bir sorun değil, tüm DeFi endüstrisinin yapısal çelişkisidir.
285 milyon dolar nereye gitti
Saldırganın zincir üzerindeki hareketleri, bir profesyonel oyuncunun sakinliğiyle temiz ve kesin idi.
Drift kovasından varlıkları çektikten sonra, büyük ölçüde tokenleri stabil para birimlerine çevirdi ve ardından Wormhole köprüsü aracılığıyla fonları Ethereum ağına aktardı. Ethereum üzerinde, yaklaşık 19.913 ETH (yaklaşık 42,6 milyon dolar değerinde) satın almak için stabil para birimlerinin bir kısmını kullandı ve kalan fonları birden fazla cüzdan adresine dağıttı.
İlginç bir detay: Saldırganın cüzdanında, bu tokenin toplam arzının yaklaşık %2,5'ini oluşturan büyük miktarda Fartcoin bulunmaktadır. Yıllık en büyük DeFi hırsızlığını gerçekleştiren bir hakerin, flatüsyon adını taşıyan bir meme tokeni elinde tutması.
Yazı itibarıyla Drift'in yatırımı ve çekimi hala durdurulmuştur. DRIFT tokeni, saldırıdan önceki yaklaşık 0,072 ABD dolarından yaklaşık 0,05 ABD dolarına düşerek %28'den fazla kayıp yaşamıştır. 2,60 ABD doları olan tarihi yüksek noktasına kıyasla toplamda %98'den fazla düşüş yaşanmıştır. Phantom cüzdanı, Drift'e erişmeye çalışan kullanıcılar için uyarı mesajları göstermiştir.
Drift ekibi, çalınan fonları dondurmak ve takip etmek için güvenlik firmaları, çapraz zincir köprü operatörleri ve merkezi borsalarla koordinasyon içinde olduğunu belirtti. Ancak geçmiş herhangi bir referans sağlıyorsa, çapraz zincir köprüleri aracılığıyla aktarılmış ve birden fazla cüzdana dağıtılmış fonların geri kazanılma olasılığı iyimserlikle bakılmamaktadır.
Bir sektörün dürüstçe karşılaması gereken bir sorun
Drift, bu kesim, endüstrinin en fazla karşı çıkmak istediği yarayı doğruladı.
Chainalysis, 2025 yıl sonu raporunda, TVL'nin 119 milyar dolar seviyesine iki katına çıkmasına rağmen DeFi güvenliklerinde "önemli ilerleme" sağlandığını ifade etti ve DeFi hack kayıplarının azaldığını belirtti. Venus Protocol örneği olumlu bir vaka olarak gösterildi: Güvenlik izleme sistemi, saldırıdan 18 saat önce anormallikleri tespit etti, protokol hemen faaliyetlerini durdurdu, yönetim mekanizması saldırganın fonlarını dondurdu ve saldırgan bile para kaybetti.
Drift, bu "ilerleme hikayesine" leke vuruyor. Akıllı sözleşmelerin denetimini en üst seviyeye çıkarabilir, en gelişmiş zincir içi izleme sistemlerini kullanabilirsiniz, ancak bir yönetici anahtarı sosyal mühendislik, kuyruklama veya brute force saldırılarıyla ele geçirilirse, tüm güvenlik altyapısı kum üzerine inşa edilmiş bir kale gibi yıkılır.
DeFi endüstrisi durmalı ve şunu dürüstçe cevaplamalı: Kullanıcılara "hızlı yönetim" dediğinizde tam olarak neyi kast ediyorsunuz?
Eğer protokolün admin anahtarı, kasanın tüm varlıklarını her zaman aktarabiliyorsa, bunun tanımadığınız birinin banka hesabına para yatırmakla farkı nedir? En azından bankada sigorta, düzenleyici kurumlar ve hukuki talep hakkı vardır.
Belki de cevap, bu yönetici yetkilerini iptal etmek değil; birçok durumda varlıkları gerekli. Ancak en azından, endüstri, bunların var olmadığını varsayarak davranmayı bırakmalı. Çok imzalı yönetim, zaman kilidi, donanım güvenlik modülü, anahtar döndürme... Bu teknik çözümler yıllardır mevcut, ancak çok fazla protokol hâlâ milyarlarca dolarlık güvenliği birkaç insan operatörün dikkatine bağlı bırakıyor.
"Kripto Robinhood" hayali çok güzel. Ancak bunu gerçekleştirmeden önce, belki de daha temel bir soruyu yanıtlamalısınız: Kim anahtarı tutuyor?