1,5 milyar dolar. Bir öğleden sonra gitti. Bybit'ti, Şubat 2025. Kuzey Kore'nin Lazarus Grubu, Ethereum'u kırmaya çalışmadı. Bunun yerine insanları hedeflediler — Bybit'in ekibinin kullandığı cüzdan yazılımına kötü amaçlı kod ekleyerek, AWS oturum anahtarı çaldılar, iki adımlı doğrulamayı atlattılar, 401.347 ETH'yi götürdüler. FBI aylar sonra bunu onayladı.
Sayının dehşet verici olması şu: 2025'teki tüm DeFi saldırılarından daha fazlaydı. Bir borsa, bir yazılım hatası, 1,5 milyar dolar kayboldu. Chainalysis'e göre 2025'te blockchain hırsızlığı 3,4 milyar dolardan geçti — 2024'ten %55 daha fazla. Blockchain kendisi güvenli kaldı. İnsanlar değildi.
Blockchain işlemleri neden güvenli#
Blockchain dünya çapında binlerce bilgisayarda tutarlı tutulmuş bir defter. Bitcoin gönderdiğinizde veya Ethereum'da bir akıllı sözleşme çalıştırdığınızda, işlem ağın onaylamasını bekledi. Bunu değiştirmeyi zor kılan üç neden vardır.
Kriptografik bağlantı: Her blok öncekinin verilerine matematiksel bir parmak izi ekler. Bir işlemi değiştirmek, ondan sonraki her bloğu yeniden hesaplamak gerektirir. Bitcoin'de bu, dünyadaki çoğu ülkenin toplam elektrik tüketiminden daha fazla bilgisayar gücü gerektirir.
Dağıtılmış yapı: Geleneksel bir banka veritabanı tek bir veri merkezinde oturur. Onu hacklersen, tüm veriyi kontrol edersin. Blockchain binlerce makinede var aynı anda. Bunu almak, çoğu düğümü aynı anda, farklı ülkelerde, farklı şirketlerde ele geçirmek anlamına gelir.
Mutabakat kuralları: Hiçbir şey kaydedilmeden ağ anlaşmaya varır. Bitcoin madencileri bunu hesaplama için elektrik harcar ve pahalıdır. Ethereum doğrulayıcıları kendi parasını risk altına alırlar — sahte işlem onaylarlarsa kaybederler. Her ikisi de dolandırıcılığı pahalı kılar.
Bu üçü birlikte Bitcoin veya Ethereum'u doğrudan hacklemeyi imkansız hale getirir. Ama insanların bunun üzerine kurduğu araçlar? Tamamen başka şey.
Her blockchain türü farklı risklerle gelir#
İnsanlar "blockchain" der sanki bir şeymiş gibi. Değil. Her tür farklı güvenlik sorunları taşır.
| Tür | Kimler katılır | Kimler doğrular | Riskin kaynağı | Örnekler |
|---|---|---|---|---|
| Herkese açık | Herkes | Binlerce düğüm | Bir saldırıya yarayacak kadar güç elde etmek çok pahalı | Bitcoin, Ethereum |
| Özel | Davetililer | Seçili düğümler | Kimlerin erişebileceğini kontrol eden şirket | JPMorgan'ın Quorum ağı |
| İzinli | Onaylı kuruluşlar | Belli doğrulayıcılar | Doğrulayıcı grubu bir araya gelirse hileli olabilir | Ripple, Corda |
| Hibrit | Her ikisi | Karışık | Her iki sistem de kendi sorunlarını taşır | Dragonchain |
Herkese açık ağları binlerce bağımsız doğrulayıcı izler. Bitcoin'i hızlandırmak için tüm madencilik endüstrisinden daha fazla harcaman gerekir. Kimse yapmadı. Bedeli: yavaştır.
JPMorgan kendi özel blockchain'ini çalıştırıyor çünkü kimin katılacağını bilmek istiyor. Bir banka için mantıklı. Ama 20 doğrulayıcı ile bir ağ çok farklıdır 20.000'den. Avuç dolusu makineyi ele geçir ve ağı kontrol edersin. Herkese açık yerine özel seçtiğinde yaptığın ticaret bu.
Hibrit sistemler ikisinin de avantajını almaya çalışır. Pratikteyse her ikisinin de sorununu alırlar.
En büyük blockchain saldırıları ve gerçekten neler yanlış gitti#
Rakamları incelediklinde bir şey fark edeceksiniz. Bunların hemen hemen hiçbiri blockchain protokolü üzerinde doğrudan yapılan saldırı değildi. Bunlar operasyonel hatalarıydı. Birisi bir parolayı yeniden kullandı. Birisi bir özel anahtarı bir sunucuda bıraktı. Birisi akıllı bir sözleşmeyi uygun şekilde kontrol etmeden dağıttı.
| Saldırı | Miktar | Yıl | Temel neden |
|---|---|---|---|
| Bybit | $1.5B | 2025 | Cüzdan arayüzünde kötü amaçlı JS, AWS jetonları ele geçirildi |
| DMM Bitcoin | $305M | 2024 | Japon borsasında özel anahtar güvenliği ihlali |
| PlayDapp | $290M | 2024 | Özel anahtar güvenlik açığı, oyun platformu |
| WazirX | $230M | 2024 | Saklama arayüzü üzerinden çok imzalı cüzdan istismarı |
| Cetus DEX | $223M | 2025 | Değişim kodunda taşma kontrolü hatası |
| Balancer | $128M | 2025 | Yuvarlama yönü hatası |
| Orbit Chain | $80M | 2024 | Zincirler arası köprü boşaltıldı |
Cüzdan güvenliği ihlalleri ve özel anahtar hırsızlığı 2025 yılının ilk yarısında çalınan tüm değerin %69'unun arkasındaydı. Güvenliği ihlal edilmiş çalışan hesapları 2024'te tüm olayların %55,6'sına neden oldu. Kimse hiçbir şifrelemeyi kıramadı. İnsanlar yanlış bağlantıya tıkladı, parolaları yeniden kullandı veya anahtarları olmaması gereken yerlere bıraktı. Her biri yüz milyonları değerinde sıkıcı, önlenebilir hatalar.
Bilmeniz gereken yaygın blockchain güvenlik açıkları#
On beş yıldır kimse blockchain'in temel defterini kıramadı. Kırılan şey ona takılı olan her şey.
Akıllı sözleşmeler güvenlik açıklarının başını çekiyor. Bunlar zincir üzerinde otomatik olarak yürütülen kod parçalarıdır ve dağıtıldıktan sonra normal bir uygulama güncellemesi gibi değiştiremezsiniz. Akıllı bir sözleşmedeki bir hata dünyadaki herkesin onu istismar etmesini sağlayabilir. DAO bunu 2016'da yaşadı ve yeniden giriş hatası 60 milyon dolara mal oldu. Dokuz yıl sonra sorun hala duruyor. Chainalysis 2024'te tüm hırsızlıkların %8,5'inin akıllı sözleşme hatalarından geldiğini buldu. Halborn tarafından yapılan araştırma ilk 100 DeFi hacksını inceledi ve hatalı giriş doğrulamasının %34,6'sına neden olduğunu ortaya koydı.
| Güvenlik açığı | Ne olur | Hasarın ölçeği |
|---|---|---|
| %51 saldırısı | Bir varlık ağ doğrulamasının çoğunluğu üzerinde kontrol sahibi olur | Ethereum Classic 2020'de birden fazla kez vuruldu |
| Sybil saldırısı | Sahte düğümler ağı sel yapar ve mutabakatı bozmaya çalışır | Doğrulayıcıların az olduğu daha küçük blokzincirlerde yaygındır |
| Kimlik avı (Phishing) | Kullanıcılar kötü amaçlı işlemleri imzalamaya veya anahtarları ortaya koymaya kandırılır | 2025 H1'de 132 olayda $410M kaybedildi |
| Flash kredisi istismarı | Ödünç alınan fonlar tek bir işlem içinde token fiyatlarını manipüle eder | Euler Finance — $197M, rekor büyüklükte |
| Köprü hack | Zincirler arası köprü güvenlik açıkları desteksiz jetonların basılmasını sağlar | Kayıplar $338M (2023) yerine $114M (2024) düştü |
| Rug pull | Geliştiriciler bir tokeni hype ettiler sonra tüm likiditeyi drene etti | 2024'teki toplam kayıpların %1,9'u |
Halborn raporunun istatistiklerinden biri beni takip etmeye devam ediyor. Büyük DeFi olaylarında hack yapılan protokollerin sadece %19'u çok imzalı cüzdanlara sahipti. %2,4'ü soğuk depolamayı kullanıyordu. Orta ölçekli bir banka bu şekilde çalışıyorsa düzenleyiciler tarafından kapatılırdı. Ama kripto'da çoğu proje bunların hiçbiri olmadan sevk edildi ve sadece şansına baktı.
Blockchain güvenliği: Hack'lerden kurtulmak için ne gerekir#
Peki, sağlam kalan projeler ile "en büyük hack'ler" listesinde yer alanlar arasındaki fark ne? Basit şeyler. Hiçbiri spektaküler değil.
Akıllı kontrat denetimi önce gelir. Bir güvenlik firmasına para ödeyip kodunuzu incelemesini sağlarsınız. Reentrancy hataları, integer overflow, 200 milyonluk açıklara dönüşen erişim kontrol sorunları - bunları ararlar. Pahalı. Ama hack'lenmekten daha ucuz.
| Proje türü | Denetim maliyeti |
|---|---|
| Temel token veya NFT | $5,000 - $15,000 |
| Staking veya yönetişim protokolü | $15,000 - $40,000 |
| Tam DeFi protokolü (DEX, lending) | $40,000 - $100,000 |
| Kurumsal çok zincirleme sistem | $100,000 - $200,000+ |
CertiK, Hacken, OpenZeppelin, Trail of Bits - standart seçenekler. Denetlenen sözleşmeler de hack'lenmiş. Ama denetlenmeyen olanlar çok daha sık saldırıya uğruyor.
Multi-sig cüzdanlar ciddi para tuttuğu her durumda zorunlu olmalı. İki veya üç anahtar imzalama için gerekli. Bir anahtar çalınırsa siz güvendesiniz. Bybit'in multi-sig vardı - yine de saldırıya uğradı çünkü saldırganlar anahtarları değil, imzalama arayüzünü hedef aldılar. Bir katman eksi, duvar değil.
Cold storage en iyi savunma. İnternete bağlanmamış bir cüzdan internetten hack'lenemez. 2024 ve 2025'te sağlam kalan borsalar müşteri fonlarının çoğunu çevrimdışı tuttu.
Gerçek zamanlı izleme kritik. Venus Protocol'ün sistemi, saldırı başlamadan 18 saat önce şüpheli kontrat çağrılarını yakaladı. Hepsi durduruldu. Para kaydedildi. Saldırgan gaz ücretlerinde para kaybetti. Chainalysis, Forta Network, OpenZeppelin Defender gibi araçlar blockchain'i 24 saat izler ve insan gözünü kaçıracak kalıpları bulur.
Ardından sıkıcı ama gerekli olan şeyler gelir: donanım güvenlik modüllü anahtarlar, hiç kimsenin tek başına büyük transfer yetkilendirememesi için rol tabanlı erişim, düzenli şifre değişimi, bir olay meydana gelmeden önce yazılı müdahale planı.
DeFi daha güvenli hale geliyor, CeFi kötüye gidiyor#
2024'ün DeFi ve CeFi sayıları ilginç.
| 2024 kayıpları | Olaylar | Yıllık değişim | |
|---|---|---|---|
| DeFi | $769M | 221 | %44,8 düşüş |
| CeFi | $726M | 11 | %77,5 artış |
DeFi'de 221 olay, CeFi'de 11 olay. Ancak CeFi'nin 11 olayı DeFi'nin 221'i kadar parayla sonuçlandı. Merkezi bir borsada kötü bir öğleden sonra aylarca DeFi istismarından daha fazla zarar verir.
DeFi kontrol alıyor. Köprü saldırıları azaldı. Projeler denetim yaptırıyor. Immunefi hata ödülü programları beyaz şapkalı hackerları sorunları önceden bulmaları için ödüllendirir ve işe yarıyor.
CeFi kötüleşiyor. Borsalar, az sayıda çalışan hesabının arkasında muazzam müşteri kripto tutarlar. Bir kimlik avı e-postası, bir geliştirici. Sonra başka bir dokuz rakamlı kaybı okuyorsunuz. Bybit, Şubat 2025 saldırısından sonra 1,5 milyar dolar müşteri yedeklemesini üç gün içinde değiştirmek zorunda kaldı. Zar zor başardı. Diğer borsalar başaramaz.
Blockchain güvenlik pazarı büyüyor#
Fortune Business Insights, blockchain güvenlik pazarını 2025'te 5 milyar dolar, 2026'ya kadar 8,4 milyar dolar olarak değerlendiriyor. Coherent Market Insights, 2032'ye kadar 128 milyar dolara ulaşacağını ve %57 yıllık bileşik oranla büyüyeceğini tahmin ediyor.
İki şey bunu yönlendiriyor. Birincisi, zincir üzerindeki para her yıl artıyor, bu da daha fazla korunması gereken varlık anlamına geliyor. İkincisi, düzenleyiciler artık isteğe bağlı değil. AB'nin MiCA düzenlemesi, Avrupa'da faaliyet gösteren kripto işletmelerine belirli güvenlik standartları getiriyor. ABD CFTC, tokenlaştırılmış teminat kabul eden şirketler için bir Dijital Varlıklar Pilot Programı başlattı — sadece ciddi güvenlik kontrolleri geçenleri kabul ediyor. Kurumsal yatırımcı istiyorsanız, kurumsal güvenliğe ihtiyacınız var. Geçmişte bu bir satış argümanıydı. Şimdi zorunluluk.
Teknoloji de ilerliyor. Anthropic, yapay zeka kullanarak akıllı kontratları analiz etti ve insan denetçilerin haftalar sürmesiyle bulabileceği 4,6 milyon dolar değerindeki zafiyetler keşfetti. Sıfır bilgi kanıtları, blokzincir işlemlerini doğrulayabilmenin yanı sıra gizli tutabiliyor. Çok taraflı hesaplama, geleneksel çoklu imza sistemlerinin yerini kurumsal blokzincir anahtar yönetiminde alıyor.
Bunun sizin için anlamı#
Kripto tutuyorsanız, temel kurallar yeterli: donanım cüzdanı, tohum cümlecinizi kağıda yazın ve güvenli bir yerde tutun, uygulamalarda iki faktörlü kimlik doğrulama (SMS hariç), borsa e-postası gibi görünen bağlantılara şüpheyle bakın. Bireysel kripto kayıplarının çoğu protokol hatalarından değil, kimlik avı veya kötü anahtar yönetiminden gelir.
Zincir üzerinde geliştirme yapıyorsanız, işler daha kompleks ama basit: yayınlamadan önce denetim yaptırın, hazinelerinizde çok imzalı kurulum kullanın, akıllı kontratlarınızı izleyin, ve cumartesi saat 3'te bir sorun çıkarsa uygulamak üzere bir olay müdahale planı yazın. Altındaki dağıtılmış defter teknolojisi sağlam — Bitcoin'in on beş yılı bunu gösterdi. Üzerine inşa edilen akıllı kontratlar, köprüler, cüzdanlar ve operasyonel güvenlik ise, sadece onları yönetenlerin becerisi kadar güvenli. Yıllık 3,4 milyar dolarlık kayıplar, bunun ne kadar kötü gittiğini söylüyor.
