Kuzey Kore 6 milyar dolar kripto çaldı: DeFi cüzdanlarınız hâlâ risk altında

Rakamlar gerçekten korkunç. TRM Labs'in raporuna göre Kuzey Kore, 2026 yılındaki hack olaylarından çalınan değerin %76'sını kontrol ediyor. Haber başlıkları sürekli kurumsal benimseme ve Wall Street'in "güvenli" girişiyle meşgulken, arka planda sistemik bir güvenlik krizi yaşanıyor. Özellikle enflasyondan kaçmak için kriptoya yönelen ve yeni başlayanlar için en güvenli defi protokolleri arayan biriyseniz, tehlikenin sadece hatalı bir kod parçası olmadığını, bu protokollerin nasıl yönetildiğini anlamanız gerekiyor.

Neler yaşandı?

Drift ve Wasabi Protocol gibi platformlarda gördüğümüz son hırsızlık dalgası belirli ve ölümcül bir kalıbı takip ediyor. Hackerlar sadece şifre tahmin etmiyor ya da akıllı kontratlarda rastgele bir açık aramıyorlar. Doğrudan yönetici anahtarlarının (admin keys) peşindeler.

Basitçe anlatmak gerekirse; yönetici anahtarı, bir binanın ana anahtarı gibidir. Geliştiricilerin protokolü güncellemesine, parametreleri değiştirmesine veya hataları düzeltmesine olanak tanır. Ancak bir Kuzey Koreli hacker bu anahtarı ele geçirdiğinde, geleneksel anlamda protokolü "hacklemesine" gerek kalmaz. Protokole tüm parayı kendi cüzdanına göndermesini söyler ve protokol, emri sahibinin verdiğini sandığı için buna itaat eder.

Şubat 2025'te Bybit'te yaşanan 1,5 milyar dolarlık devasa ETH soygununda tam olarak bu oldu. Lazarus Group, bir Safe{Wallet} multisig arayüzünü ele geçirdi. Bybit'in kaybı karşılayacak rezervleri olsa da, bu kadar büyük bir yapının bile darbe alması kimsenin tamamen güvende olmadığını gösteriyor.

DeFi kullanıcıları için neden kabus?

Sorun şu ki, birçok DeFi projesi güvenliğin önüne hızı ve "çevikliği" koyuyor. Rekabetçi kalmak için güncellemeleri hızla yaymak istiyorlar ve bu yüzden yönetici anahtarlarını aktif tutuyorlar.

Yıllardır bu protokolleri takip ediyorum ve hep aynı hatanın yapıldığını görüyorum. Bir proje piyasaya çıkıyor, yüksek getiriler vaat ediyor ve kodun denetlendiğini (audit) söylüyor. Ama denetim sadece kodu kontrol eder. Bir geliştiricinin dizüstü bilgisayarının oltama yöntemiyle ele geçirilmesini veya bir ekip üyesinin özel anahtarı vermesi için şantaja uğramasını engellemez.

Fonlarınızı bir protokole yatırdığınızda sadece koda güvenmiyorsunuz; o kodun anahtarlarını tutan insanlara güveniyorsunuz. Eğer bu anahtarlar merkezileşmişse veya kötü korunuyorsa, paranız aslında yöneticisinin anahtarı paspasın altına bıraktığı bir kasada duruyor demektir.

Yeni başlayanlar için en güvenli defi protokolleri nasıl bulunur?

Eğer bu dünyaya yeni girdiyseniz ve bir istatistikten ibaret olmak istemiyorsanız, bir projeyi değerlendirme şeklinizi değiştirmeniz lazım. APY (yıllık getiri) oranlarına bakmayı bırakın ve yönetişime (governance) odaklanın.

İlk olarak "timelock" (zaman kilidi) olup olmadığına bakın. Timelock, bir yöneticinin değişiklik teklif etmesi ile bu değişikliğin gerçekleşmesi arasına (genellikle 24 ila 72 saat) bir gecikme koyan kod parçasıdır. Bu, topluluğun kötü niyetli bir güncellemeyi görmesine ve hack gerçekleşmeden önce fonlarını çekmesine zaman tanır.

İkinci olarak, gerçek merkeziyetsizliği kontrol edin. Eğer proje, tek bir multisig cüzdanına sahip küçük bir grup tarafından yönetiliyorsa, bu büyük bir kırmızı bayraktır. Değişikliklerin token sahiplerinin geniş bir oylamasıyla yapıldığı DAO'lara (Merkeziyetsiz Otonom Organizasyonlar) geçmiş protokolleri tercih ederim.

Ancak en iyi protokole sahip olsanız bile, giriş noktanız bir risk teşkil eder. Çok fazla insanın her şey için "hot wallet" (internete bağlı yazılım cüzdanları) kullandığını gördüm. Ciddi miktarda varlık taşıyorsanız, bir donanım cüzdanına ihtiyacınız var. Ben şahsen Ledger Stax öneriyorum çünkü İşlem Kontrol (Transaction Check) özelliği var. Ne imzaladığınızı düz bir İngilizceyle görmenizi sağlıyor, bu da cüzdanınızı boşaltacak bir DeFi dolandırıcılığını yanlışlıkla onaylamadan önce fark etmenize yardımcı oluyor.

Güvenliğin mevcut durumu hakkında düşüncelerim

ETF'ler geldi diye artık "batamayacak kadar büyük" olduğumuz anlatısından sıkıldım. Kurumsal para likidite getiriyor ama birçok DeFi protokolünün yönetilme biçimindeki temel kusuru düzeltmiyor.

Şu an BTC dominansının %60 olduğu ve Altcoin Sezonu Endeksi'nin %16 gibi düşük bir seviyede seyrettiği bir "Bitcoin Sezonu"ndayız. Bu, paranın en güvenli ve yerleşik varlığa aktığı anlamına gelir. Benim deneyimime göre, "deneysel" DeFi projelerinin kullanıcı çekmek için güvenlikten ödün verip kestirme yollara saptığı tam da bu anlardır.

Korku ve Açgözlülük endeksinin 40 seviyesindeki nötr durumu sizi riskin düşük olduğu yanılgısına düşürmesin. Risk değişmedi, sadece oyuncular değişti. Eğer bir protokolün şeffaf ve zaman kilitli bir yönetişim yapısı yoksa, orası "güvenli" bir yatırım yeri değildir. Sadece geliştiricilerin bir oltalama e-postasına kanmamasına dair bir bahistir. Kuzey Kore'nin cebine koyduğu 6 milyar doları düşününce, ben bu bahse girmem.