Drift DeFi saldırısı: 270 milyon dolarlık olay, kripto güvenliğinde asıl zafiyetin ‘insan’ olduğunu gösterdi

DeFi protokolü Drift, yaklaşık 270 milyon dolar (yaklaşık 4,043 milyar won) büyüklüğündeki saldırının ayrıntılarını açıklarken, kripto dünyasında asıl zafiyetin ‘kod’da değil ‘insan’da olabileceğine dair uyarılar güçleniyor. Drift ekibinin duyurusuna göre olay, basit bir akıllı sözleşme açığından ziyade yaklaşık 6 aya yayılan, ‘Kuzey Kore bağlantılı bilgi operasyonu’ niteliğinde bir saldırı olarak ortaya çıktı.

Drift’in aktardığına göre saldırganlar, bir *akıllı kontrat* açığı aramak yerine ekibin ve ekosistemin içine sızdı. Farklı ülkelerde sahte kimliklerle ekip üyeleriyle yüz yüze temas kurdular, yaklaşık 1 milyon dolar fon yatırarak güven kazandılar ve bu ilişkiler üzerinden sistemin içine adım adım yerleştiler. Böylece, DeFi güvenliğinin merkezinde teknolojiden çok ‘güven ilişkileri’nin yer aldığı çarpıcı biçimde ortaya çıkmış oldu. ‘İnsan temelli zafiyet’ vurgusu, DeFi sektöründe ciddi bir sarsıntı yaratıyor.

‘Hack’ Değil Bilgi Operasyonu: Güvenliğin Tanımı Değişiyor

ENS Labs’in bilgi güvenliğinden sorumlu yöneticisi(CISO) Alexander Ebelis, olayı klasik anlamda bir ‘hack’ değil, tam ölçekli bir ‘bilgi operasyonu’ olarak tanımlıyor. Ebelis, konferanslara katılmak, farklı ülkelerde ekip üyeleriyle bizzat görüşmek, yüklü miktarda fon yatırarak güven tesis etmek gibi yöntemlerin tipik bir *istihbarat operasyonu tekniği* olduğuna dikkat çekiyor.

Bu tablo, ‘saldırgan artık zayıf akıllı kontrat aramıyor, zayıf insan arıyor’ gerçeğini öne çıkarıyor. ‘Yorum’ Bu durum, yıllardır kod ve denetim odaklı inşa edilen kripto güvenliği anlayışını temelden sorguluyor. ‘yorum’

Kuzey Kore bağlantılı grupların daha önce de geliştirici kılığına girerek işe alım süreçlerinden geçmeyi, projelere içeriden sızmayı denediği biliniyordu. Ancak Drift vakası, bu taktiklerin yeni bir seviyeye taşındığını gösteriyor: uzun vadeli ilişki inşası, offline buluşmalar ve aşamalı güven tesisine dayalı, sabırlı ve sofistike bir yaklaşım.

“En Zayıf Halka İnsan”: DeFi’nin Yapısal Açığı

SVRN operasyon şefi David Schwed, yaşananları DeFi için “net bir alarm sinyali” olarak görüyor. Schwed’e göre küçük ekipler, yüksek oranda güvene dayalı çalışma modeli ve yoğun yetki yoğunlaşması, DeFi protokollerini insan kaynaklı saldırılara karşı savunmasız kılıyor. Tek bir kilit kişinin ele geçirilmesi bile, tüm sistemin çökmesine yol açabiliyor.

Özellikle *multisig* cüzdanlar veya çekirdek erişim yetkilerini elinde bulunduran isimler hedef olduğunda, zararın boyutu katlanarak büyüyor. Burada sorun, ne kadar kapsamlı bir *kod denetimi(audit)* yapılırsa yapılsın, insan odaklı sosyal mühendislik ve uzun vadeli sızmaları tamamen engellemenin çok zor olması.

Solana(SOL) tabanlı DeFi platformu Jupiter de mevcut güvenlik anlayışının sınırlarını kabul ediyor. COO Kash Danda, “Kod denetimi, açık kaynak ve biçimsel doğrulama artık sadece asgari gereklilik” derken, ‘saldırı yüzeyinin yönetişim, operasyon ve ekip üyelerine kadar genişlediğini’ vurguluyor. Jupiter tarafında bu nedenle multisig yapılarının güçlendirilmesi, *time-lock* mekanizmalarının devreye alınması ve iç güvenlik eğitimlerinin artırılması gibi adımlar atılıyor.

Güvenin Kendisi Zafiyet Olduğunda

Jito Labs CEO’su Lukas Brunner, Drift saldırısının özünü “insanlar arasındaki güven ilişkisini suistimal eden saldırı” olarak özetliyor. Bu, DeFi’nin üzerine kurulu olduğu ‘merkeziyetsiz güven’ modelinin, yanlış tasarlandığında bizzat bir ‘saldırı vektörü’ne dönüşebileceği anlamına geliyor.

dYdX Labs cephesi de, devlet destekli saldırıların arttığı bir dönemde ‘tam savunma’nın pratikte mümkün olmadığını kabul ediyor. Burada sorumluluğun bir kısmı da kullanıcılara kayıyor: Protokol yapısının, multisig yetkilerinin, yükseltme mekanizmalarının ve acil durum süreçlerinin temel hatları anlaşılmadan, riskin gerçek boyutunu kavramak zor.

Uzmanlar, DeFi güvenliğinde asıl meselenin artık teknik ayrıntılardan çok ‘tehdit modeli(threat model)’ tasarımına kaydığını belirtiyor. Önce “sistem nasıl çalışıyor?” sorusu değil, “sistem nasıl yıkılabilir?” sorusu sorulmalı; buna göre yetki dağılımı, teşvikler, gözetim ve denetim katmanları yeniden düşünülmeli.

Drift vakası, sonuç itibarıyla klasik bir hack olayından daha fazlası. DeFi ekosisteminin en büyük riskinin, satır satır denetlenen ‘kod’ değil, ilişkiler, güven ve karar veren ‘insan’ faktörü olabileceğini ortaya serdi. Piyasa, artık güveni veri kabul eden yapılardan, ‘güveni bile sistematik olarak sorgulayan’ tasarımlara doğru evrilmeye zorlanıyor.