Drift, bu kesim, endüstrinin en fazla karşılaşılmak istenmeyen yarasına dokundu.
1 Nisan, April Fool's Day.
Solana zincirindeki en büyük süresiz sözleşmeler borsası Drift Protocol boşaltılıyor ve topluluk ilk tepkisi, "Harika bir Nisan Havası şakası."
Bu bir şaka değil. 13:30 sıralarında, zincir üzerindeki izleme hesapları Lookonchain ve PeckShield neredeyse aynı anda alarm verdi: "HkGz4K" ile başlayan tanımadığımız bir cüzdan, Drift'in kasanından şaşırtıcı bir hızla varlıkları çekiyordu. İlk olarak, 155 milyon dolar değerindeki 41 milyon JLP tokeni. Hemen ardından, 51,6 milyon USDC, 125 bin WSOL, 164 bin cbBTC... Onlarca varlık, tıpkı tıka basa dolu bir banyoda tıkaç çekildiğindeki gibi hızla dışarı akıyordu.
Bir saat içinde kasa varlıkları 309 milyon dolarlardan 41 milyon dolara düştü. TVL'nin yarısından fazlası buharlaştı.
Drift ekibi, X üzerinde nadiren görülen bir aciliyetle bir tweet paylaştı: "Drift Protocol, aktif bir saldırıya maruz kalıyor. Yatırımlar ve çekimler durduruldu. Durumu kontrol altına almak için birkaç güvenlik şirketi, çapraz zincir köprüsü ve borsa ile koordinasyon içindeyiz."
Ve kripto tarihine yazılacak olan şu ek not: "Bu bir Nisan Ayı Şakası değil."
Bir anahtar, tüm kapıları açtı
Drift'in çalınan dijital varlık miktarı, kaynaklara göre farklılık gösteriyor. PeckShield, yaklaşık 285 milyon dolar olarak tahmin ediyor; Arkham, 250 milyon doların üzerinde bir miktar veriyor; CertiK'in ilk değerlendirmesi ise yaklaşık 136 milyon dolar civarında. Ancak hangi rakam geçerli olursa olsun, bu 2026 yılına kadar yaşanan en büyük DeFi güvenlik olayıdır.
Daha da önemli olan, saldırı yöntemi.
PeckShield kurucusu Jiang Xuxian, Decrypt'e Drift'in arka planındaki yönetici anahtarının "açıkça sızdırıldığını veya ele geçirildiğini" söyledi. Zincir üzerindeki araştırmacılar, saldırganların Drift protokolüne özel erişim elde ederek kasa fon akışlarını kontrol ettiğini ortaya koydu.
Yani, ince bir akıllı sözleşme açıklığı yok, çakıllı kredi saldırısı yok, tahminci manipülasyonu yok. Sadece en ilkel, en eski güvenlik hatası: kimse anahtarı kaybetti.
Daha da endişe verici detay, saldırganın anlık karar vermediğidir. Zincir üzerindeki veriler, bu cüzdanın saldırıdan 8 gün önce Near Intents aracılığıyla başlangıç fonlarını aldığını ve ardından sessiz kalacağını gösteriyor. Saldırıdan bir hafta önce, 2,52 dolarlık küçük bir transfer bile Drift kasanından aldı. Bir deneme, bir “çalma”.
Bir hafta sonra kapı kırıldı.
Kripto versiyon Robinhood'un düşüşü
Drift'in ortak kurucusu Cindy Leow için, 1 Nisan'daki korku, özellikle sert bir tonla yaşanmıştır.
Bu Malezyalı Çinli girişimcinin hikayesi, bir zamanlar Solana DeFi'nin en iyi ilham verici öykülerinden biriydi. 2016'da Güney Kore ve Çin'de bitcoin arbitrajı ile başlayıp kendi fonlarını yönetmiş, Ethereum üzerinde türev projeleri geliştirmiş, 2021'de David Lu ile birlikte Drift'i kurarak Solana'nın hız avantajını kullanarak zincir üstü süresiz sözleşmeler üzerine yatırım yapmıştır.
Zaman çizelgesine bakıldığında, Drift neredeyse her dalgayı tam olarak vurdu. 2024 yılında Polychain ve Multicoin’in öncülük ettiği iki sermaye artırma turunu tamamlayarak toplamda 52,5 milyon dolar topladı. Polymarket’e meydan okumak için tahmin pazarını sundu, 50 kat kaldıraçlı işlem sunumunu başlattı, TVL 5,5 milyar doları aştı ve toplam işlem hacmi 50 milyar doları geçti. Leow, Fortune ile yaptığı röportajda, "kripto Robinhood" olma hedefini cesur bir şekilde belirtti.
Bu benzetme şimdi karışık hisler uyandırıyor. Robinhood'un temel taahhüdü, sıradan insanların Wall Street'in finansal araçlarına erişmesini sağlamaktır. Drift'in temel taahhüdü ise kullanıcıların zincir üzerinde "tamamen güvensiz" bir işlem deneyimi elde etmesini sağlamaktır; paranız hiçbirinin elinden geçmeden yalnızca kodla etkileşime girer.
Ancak kodun arkasında bir yönetici anahtarı vardır. Ve bu anahtarın güvenliği, kriptografi değil, insana bağlıdır.
Burada sinirleri acıtan bir tarihsel paralellik daha var. 2022 yılında Drift v1 dönemi, kasanın boşaltılması olayını yaşamıştı. Takım, olaydan sonra son derece detaylı bir teknik rapor hazırladı ve saldırganın nasıl bir işlemle tüm kasanın boşaltıldığını gösteren bir kanıt çalışması kodunu dahi paylaştı. O olayda oluşan zarar 14,5 milyon dolar idi ve takım, kullanıcıların tamamını kendi cebinden tamamen tazmin etti.
Dört yıl sonra, aynı kabus 20 kat büyüklükte tekrarlandı.
Merkeziyetsiz inanç, merkezi zayıflık
Drift'ten biraz uzaklaşarak bakarsanız, rahatsız edici bir pattern'in oluşmakta olduğunu görebilirsiniz.
2025 yılının başlarında, Resolv Labs'in AWS anahtar yönetimi hizmeti ele geçirildi ve saldırganlar, yetkili anahtarları kullanarak büyük ölçekli USR kararlılık jetonu üretimi onayladı; bu da çoklu platformlarda zincirleme kayıplara neden oldu. Aynı yıl, 2025 boyunca kripto para çalıntılarının toplam tutarı, Chainalysis raporuna göre 3,4 milyar ABD doları ile tarihte en yüksek seviyeye ulaştı ve rapor özellikle bir yönelim değişikliğini vurguladı: En yıkıcı olaylar, altyapı düzeyinde gerçekleşti. Ele geçirilen geliştirici makineleri, bulutta saklanan tek bir üretim anahtarı, sosyal mühendislikle hedef alınan imza süreçleri, gerçek olarak fonları yutan kara deliklerdi.
Drift'i şimdi ekleyin.
Bu örnekleri yan yana getirdiğinizde, neredeyse kaçınılmaz bir sonuç ortaya çıkar: Özel anahtar güvenliği, DeFi'nin en büyük sistemik riski olarak akıllı sözleşme açıklarını yerini almıştır.
Burada onlarca milyar doları yiyebilir kadar büyük bir algı boşluğu var.
DeFi protokollerinin dışa vurduğu hikaye, "merkeziyetsizlik", "tamamen kontrolsüz" ve "güvene gerek yoktur". Varlıklarınız kod tarafından korunur ve hiçbir ara taraf paranıza dokunamaz. Kullanıcılar bu hikayeyi kabul edip paralarını bu protokollere yatırır ve "ben matematikle uğraşıyorum" diye düşünür.
Ancak gerçek, çalışan neredeyse her DeFi protokolünde bir veya birkaç "Tanrı Anahtarı" olduğunu gösteriyor: admin anahtarı, yükseltme izni, kasa kontrolü, acil durdurma anahtarı. Bu anahtarların varlığı bazen güvenlik için (sorun olduğunda acil durdurma), bazen esneklik için (akıllı sözleşme mantığını yükseltme) vardır, ancak özleri aynıdır: merkezi bir güven noktası, merkeziyetsiz bir hikâyeye sarılmıştır.
Kullanıcı, kodla etkileşimde bulunduğunu düşünüyor. Aslında, birinin ya da küçük bir grubun hata yapmayacağını, kandırılmayacağını, zorlanmayacağını ve gece yarısı dizüstü bilgisayarı bir kafede unutmayacağını güveniyor.
Bu, Drift'a özgü bir sorun değil, tüm DeFi endüstrisinin yapısal çelişkisidir.
285 milyon dolar nereye gitti
Saldırganın zincir üzerindeki hareketleri, bir profesyonel oyuncunun sakinliğiyle temiz ve kesin idi.
Drift kovasından varlıkları çektikten sonra, büyük ölçüde tokenleri stabil para birimlerine dönüştürdü ve ardından Wormhole köprüsü aracılığıyla fonları Ethereum ağına aktardı. Ethereum üzerinde, yaklaşık 19.913 ETH (yaklaşık 42,6 milyon dolar değerinde) satın almak için stabil para birimlerinin bir kısmını kullandı ve kalan fonları birden fazla cüzdan adresine dağıttı.
İlginç bir detay: Saldırganın cüzdanında, bu tokenin toplam arzının yaklaşık %2,5'ini oluşturan büyük miktarda Fartcoin bulunuyor. Yıllık en büyük DeFi hırsızlığını gerçekleştiren bir hakerin, flatülans adını taşıyan bir meme coin elinde tutuyor.
Yazının yayınlanma anında, Drift'in para yatırma ve çekme işlemleri hala durdurulmuştur. DRIFT tokeni, saldırıdan önceki yaklaşık 0,072 ABD dolarından yaklaşık 0,05 ABD dolarına düşerek %28'den fazla kayıp yaşamıştır. 2,60 ABD doları olan tarihi yüksek noktasına kıyasla toplamda %98'den fazla düşüş yaşanmıştır. Phantom cüzdanı, Drift'e erişmeye çalışan kullanıcılar için uyarı penceresi açmıştır.
Drift ekibi, çalınan fonları dondurmak ve izlemek için güvenlik firmaları, çapraz zincir köprü operatörleri ve merkezi borsalarla koordinasyon içinde olduğunu belirtti. Ancak geçmiş herhangi bir referans sağlıyorsa, çapraz zincir köprüleri aracılığıyla aktarılmış ve birden fazla cüzdana dağıtılmış fonların geri kazanılma olasılığı iyimserlikle değerlendirilmez.
Bir sektörün dürüstçe karşılaması gereken bir sorun
Drift, bu kesim, endüstrinin en fazla karşılaşılmak istenmeyen yarasına dokundu.
Chainalysis, 2025 yıl sonu raporunda, TVL'nin 119 milyar dolar seviyesine iki katına çıkmasına rağmen DeFi güvenliklerinde "özgün ilerleme" sağlandığını ifade etti ve DeFi hırsızlıklarındaki kayıpların azaldığını belirtti. Venus Protocol örneği olumlu bir örnek olarak gösterildi: Güvenlik izleme sistemi, saldırıdan 18 saat önce anormallikleri tespit etti, protokol hemen faaliyetlerini durdurdu, yönetim mekanizması saldırganın fonlarını dondurdu ve saldırgan bile para kaybetti.
Drift, bu "ilerleme hikayesine" leke vuruyor. Akıllı sözleşmelerin denetimini en üst seviyeye çıkarabilir, en gelişmiş zincir üstü izleme sistemlerini kullanabilirsiniz, ancak bir yönetici anahtarı sosyal mühendislik, kötü niyetli bağlantı veya brute force saldırısıyla ele geçirilirse, tüm güvenlik altyapısı kum üzerine inşa edilmiş bir kale gibi olur.
DeFi endüstrisi durmalı ve şunu dürüstçe cevaplamalı: Kullanıcılara "hizmet dışı" dediğinizde tam olarak neyi kast ediyorsunuz?
Eğer protokolün admin anahtarı, kasanın tüm varlıklarını her zaman aktarabiliyorsa, bunun tanımadığınız birinin banka hesabına para yatırmakla farkı nedir? En azından bankanın sigortası, düzenleyicisi ve hukuki talep hakkı vardır.
Belki de cevap, bu yönetici haklarını iptal etmek değil; birçok durumda varlıkları gerekli. Ancak en azından, sektör bu hakların var olmadığını varsayarak davranmayı bırakmalı. Çok imzalı yönetim, zaman kilitleri, donanım güvenlik modülleri, anahtar döndürme... Bu teknik çözümler yıllardır mevcut, ancak hâlâ çok fazla protokol, milyarlarca dolarlık güvenliği birkaç insan operatörün dikkatine bağlıyor.
"Kripto Robinhood" dreami çok güzel. Ancak bunu gerçekleştirmeden önce, belki de daha temel bir soruyu yanıtlamalısınız: Kim anahtarı tutuyor?