20 Eylül sabahının erken saatlerinde Singapur merkezli kripto para borsası BingX, bir güvenlik ihlali olduğunu doğruladı. Şirket yetkililerine göre olay "küçük varlık kaybı" ile sonuçlandı. Ancak uzmanlar, bunun milyonlarca doların çalınmasına yol açabileceğini zaten ifade etmiş durumda. Bu, yıllardır yaşanan ilk büyük kripto borsa hack olayı değildi.

Pazarın değeri arttıkça, bununla ilişkili riskler de arttı. Merkezi kripto para borsaları, dijital varlık dünyasına giriş kapısı oldukları için hackerların hedefi oluyor. Bu platformlar, kullanıcı fonlarında milyarlarca dolar barındırıyor, bu da onları, siber suçlular için eski zamanlardaki geleneksel bankalar kadar çekici hale getiriyor. Kripto paralar merkezi olmayan bir yapıya sahip olup, farklı borsalar farklı güvenlik seviyelerine sahiptir. Bu da, para tarihindeki en büyük soygunlardan bazılarının gerçekleşmesine yol açmıştır.

Borsa hack olaylarının artışı, kripto paralar hakkındaki önemli bir gerçeği gösteriyor: blok zinciri teknolojisi güvenli olmasıyla övülürken, kullanıcıların varlıklarını depoladıkları ve takas ettikleri yerlerin hala saldırılara açık olduğu gerçeği. Bu hack olaylarının çoğu, güvenlik protokollerindeki açıkları, kodda yapılan hataları veya çalışanların ihmallerini suistimal etti. Sonuç olarak milyon dolarlar çalındı, bu da kamu güvenini sarstı ve kriptonun daha iyi bir altyapı olmadan yaygın olarak kabul görüp görmeyeceği konusunda şüpheler yarattı.

BingX skandalı devam ederken, son birkaç yılın en büyük 10 kripto para borsası hack olayına ve bu olayların teknik eksiklikleri, finansal etkileri ve alınan derslere bir göz atalım.

1. Mt. Gox (2014) – Dev'in Düşüşü

Japon Mt. Gox borsası, 2010'ların başında Bitcoin ticaretine hükmediyordu. Bu, muhtemelen kripto paralar tarihinin en ünlü hack olayına ev sahipliği yapmıştı.

Borsa, en yoğun döneminde dünya genelindeki tüm Bitcoin işlemlerinin %70'inden fazlasını yönetiyordu. Şubat 2014'te Mt. Gox'un aniden ticareti durdurması pek çok kişiyi korkuttu. Kısa süre sonra borsa iflas etti ve 850,000 BTC'nin, o zamanın 450 milyon dolar değerinde olan miktar, çalındığını açıkladı. Bugünün parasıyla, bu tutar milyarlar olurdu. Yani, 10 yıl sonra bile hikaye hala oldukça korkutucu geliyor.

Saldırı birkaç yıl boyunca gelişti. Hackerlar, şirketin sıcak cüzdanlarındaki ve şirket içindeki kötü güvenlik uygulamalarındaki açıkları kullanarak Mt. Gox cüzdanlarından yavaş yavaş Bitcoin çektiler. Ana sorun, değişim sisteminin işlem doğrulama sistemindeki bir zayıflıktı. "İşlem şekil bozukluğu" olarak adlandırılan bu zayıflık, hırsızların işlem kimliklerini değiştirmesine ve parayı yakalanmadan almasına izin verdi.

Mt. Gox'un CEO'su Mark Karpeles, daha sonra tutuklandı ve hırsızlıkla suçlandı. Hack olayı hala kripto dünyasında kötü yönetim ve zayıf güvenliğin tehlikelerini gösterdiği için bir ders olarak hatırlanıyor. Çalınan Bitcoin'in bir kısmı geri bulundu.

2. Coincheck (2018) – 500 Milyon Dolarlık NEM Soygunu

Ocak 2018'de Japonya merkezli borsa Coincheck'ten 500 milyon doların üzerinde NEM (XEM) tokeni çalındı.

NEM işlemleri, onaylanmaları için birden fazla kişinin katılımını gerektirir ve Bitcoin işlemlerine göre daha karmaşıktır. Ancak bu durum, durumu iyileştirmedi. Nasıl mı? Ne yazık ki Coincheck, NEM'lerinin çoğunu "sıcak cüzdanlarda" saklamıştı. Bunlar, çevrim içi olan ve nispeten kolayca hacklenebilir cüzdanlardır.

Hackerlar, Coincheck'in sunucularına sızarak borsanın sıcak cüzdanına erişim sağladılar. Borsanın büyük bir varlık miktarını multi-imza cüzdanlarda tutmaması büyük bir güvenlik açığıydı. İçeri girdikten sonra, hackerlar NEM'i farklı hesaplara taşıdılar. Blok zinciri teknolojisinin değiştirilememesine rağmen, NEM merkezi olmayan bir yapı olduğu için Coincheck işlemleri geri alamadı.

NEM blok zincirinin açıklığı, polisin çalınan paranın bir kısmını bulmasına yardımcı oldu, ancak büyük bir kısmı hala kayıp. Hack nedeniyle Coincheck, etkilenen kullanıcıları kendi ceplerinden ödemek zorunda kaldı. Bu durum, Japon hükümeti tarafından borsalar üzerindeki denetimin sıkılaştırılmasına yol açtı.

3. Bitfinex (2016) – Çoklu İmza Çıkmazı

Ağustos 2016'da Bitfinex, kripto para borsaları içinde en büyüklerinden birisiydi ve bu sırada bir hack ile 120,000 BTC veya o zamanın 72 milyon doları çalındı.

Blok zinciri güvenlik firması BitGo, Bitfinex'e çoklu-imza cüzdan sistemi sağladı. Yine de, hack sonucunda bu kuruluma sahip olmanın zayıflıkları ortaya çıktı.

Hackerlar, Bitfinex'in güvenliğini aşarak sıcak cüzdanlarına erişim sağladılar. Bitfinex'in anahtar yönetimi ve çoklu-imza uygulamasındaki kodlama hatalarındaki güvenlik açıkları, hackerların erişim sağlamasının nedeniydi, sonradan bulunduğu gibi.

Hem mali etki hem de Bitfinex hack olayının ardından yapılan müdahale kayda değerdir. Borsa, kaybedilen fonları temsil etmek için kullanıcıların alım satım yapabilecekleri veya borsanın mali durumu düzelene kadar ellerinde tutacakları bir token (BFX) yarattı. Bitfinex, etkilenen müşterilerini tazmin etse de, olay merkezi borsaların güvenliği ve çoklu-imza cüzdanlarının faydası konusunda şüpheler uyandırdı.

4. Binance (2019) – Büyük Ama Düşmesi İmkansız Bir Hedef

Mayıs 2019'da, Binance'de büyük bir hack olayı meydana geldi, bu da hacim açısından en büyük kripto para borsalarından biridir. Saldırı sırasında, yaklaşık 40 milyon dolara eşdeğer 7,000 BTC çalındı. Bu olay, en hafif tabirle, kripto endüstrisinde büyük bir olaydı.

Hackerlar, büyük miktarda kullanıcı API anahtarları, 2FA kodları ve dev kripto borsanın iç kısımlarına erişim sağlamaya yardımcı olabilecek diğer bilgileri elde etmek için kimlik avı, virüsler ve diğer sofistike teknikleri kullandılar.

Kullanılan gelişmiş yöntemlerle, Binance hack olayı öne çıkıyor. Saldırı, Bitcoin'i alarmları tetikleyen tek bir hızlı işlemle çeken saldırganlar tarafından çok organize bir şekilde gerçekleştirildi.

Binance, para çekme işlemlerini derhal durdurdu ve acil durum müdahalesini başlattı. Kullanıcılar için şanslı olan, Binance'in bu tür acil durumlar için özel olarak oluşturduğu SAFU (Secure Asset Fund for Users) fonu kayıpları karşıladı.

Platformun güvenlik sistemleri ihlal edilmiş olsa da, Binance'in protokolleri zararları en aza indirmelerine ve hızlı bir şekilde toparlamalarına olanak sağladı, bu olayı daha sonra açıklayan Binance CEO'su Changpeng Zhao'ya göre.

İhlal, hiçbir platformun sürekli değişen siber saldırılardan tamamen güvende olmadığını gösterdi.

5. KuCoin (2020) – 275 Milyon Dolarlık Hırsızlık

Eylül 2020'de, Singapur merkezli borsa KuCoin'de bir hack gerçekleşti ve yaklaşık 275 milyon dolar değerinde Ethereum, Bitcoin ve ERC-20 tokenleri çalındı.

Yine, borsanın sıcak cüzdanları, çevrim içi olarak büyük varlıkları bulundurmanın tehlikelerini göstererek ihlal edildi.

Çalınan miktarın yanı sıra, KuCoin'in yıldırım hızındaki tepkisi saldırıyı kayda değer kıldı. Çalınan fonların önemli bir kısmı, proje ekipleri ve blok zinciri işletmeleri ile iş birliği yaparak hızla donduruldu. Sonunda, çalınan fonların 200 milyon dolardan fazlası geri alındı.

KuCoin'in tepkisi, kripto güvenlik önlemlerinin ne kadar geliştiğini, özellikle de hırsızlanmış paranın transferini durdurma veya geri alma kapasitesini gösterdi.

Ancak bu durum, merkezi borsaların tehlikelerini daha geniş bir tartışma başlattı ve sıcak cüzdan güvenliğinin geliştirilmesi gerekliliğine dikkat çekti.

6. NiceHash (2017) – 64 Milyon Dolarlık Madencilik Hack'i

Aralık 2017'de, Slovenya'daki NiceHash kripto para madenciliği pazar yeri saldırıya uğradı ve bu da 4,700 BTC'nin, o dönemde yaklaşık 64 milyon dolar değerinde, çalınmasına neden oldu.

NiceHash'ten para çaldıktan sonra, failler muhtemelen şirketin iç sistemlerine erişim sağlamak için sosyal mühendislik kullandılar.

Daha tipik hack olaylarından farklı olarak, bu bir madencilik platformunu hedef aldı.

NiceHash kullanıcıları, hesaplama güçlerini başka insanlara kiraladıklarında Bitcoin karşılığında ağır kayıplara uğradı. Yanıt olarak, işletme tüm operasyonları dondurdu ve kapsamlı bir soruşturma başlattı.

NiceHash nihayetinde etkilenen kullanıcılara ödeme yapsa da, olay, madencilik platformları dahil tüm kripto para ekosisteminin savunmasız olduğunu gösterdi.

7. Liquid (2021) – 94 Milyon Dolarlık İstismar

Japon borsa Liquid, Ağustos 2021'de meydana gelen bir hack sırasında 94 milyon doların üzerinde değerindeki Bitcoin, Ethereum ve diğer kripto paraları kaybetti.

Liquid'in varlıkları, hackerlar sıcak cüzdanlarına erişim sağladıktan sonra birçok adrese taşındı. Likid, daha fazla para kaybedebileceğini fark ettikten hemen sonra parayı soğuk cüzdanlara taşıdı.

Bu olayın ardından, Liquid çalınan paraların hareketini izlemek amacıyla diğer borsalarla iş birliği yaptı ve çalınan fonlarını geri alma amacıyla ajanlar yürüten hırsızları tespit etti. Fonların bir kısmı geri alınsa da, olay sıcak cüzdanların savunmasızlığı ve gerçek zamanlı dijital varlık güvenliğinin zorlukları konusundaki endişeleri arttırdı.

8. Cryptopia (2019) – Küçük Bir Dev'in Çöküşü

Yeni Zelanda merkezli kripto borsası Cryptopia, küçük boyutuna rağmen kullanıcıları arasında büyük saygı görmekteydi.

Ocak 2019'da gerçekleşen bir hack, borsanın yaklaşık 16 milyon dolar değerinde kripto paranın çalınmasına neden oldu. Cryptopia, hackin ardından tüm işlemleri durdurmak zorunda kaldı ve borsa iflas etti.

Cryptopia'nın mağdurlara ödeme yapmak için çok az parası olması dolayısıyla hack, onlar için özellikle kötü oldu. Bazı kullanıcıların bütün varlıkları kayboldu. Soruşturmalar, bir dizi güvenlik açığını gün yüzüne çıkardıktan sonra, borsanın iç prosedürleri ve risk yönetimi inceleme altına alındı.

9. Zaif (2018) – 60 Milyon Dolarlık Hack

Eylül 2018'de Japon kripto para borsası Zaif'te meydana gelen hack, yaklaşık 60 milyon dolar değerinde Bitcoin, Bitcoin Cash ve MonaCoin'in çalınmasıyla sonuçlandı.

Hackerlar, borsanın sıcak cüzdanlarına sızdıktan sonra parayı hareket ettirebildiler.

İçerik: kimse fark etmeden kısa bir süre.

Zaif'in ana şirketi Tech Bureau, zararlarının bir kısmını telafi etmek amacıyla, işi başka bir Japon finansal hizmet sağlayıcısı olan Fisco'ya satmak zorunda kaldı. Hack olayının bir sonucu olarak, Zaif geçici olarak faaliyetlerini durdurmak zorunda kaldı ve Japon hükümeti kripto para borsaları üzerinde daha sıkı denetimler uygulamaya başladı.

10. Bitmart (2021) – 150 Milyon Dolarlık Sıcak Cüzdan İhlali

Aralık 2021'de, dünya çapında tanınan bir bitcoin borsası olan Bitmart'ta büyük bir hack olayı yaşandı. Kullanıcıların yaklaşık 150 milyon dolar değerindeki parası saldırı sırasında çalındı. Borsa üzerindeki Binance Smart Chain (BSC) ve Ethereum (ETH) tokenleri için sıcak cüzdanlar, hack olayının gerçekleşmesine imkan tanıyan zayıf noktalardı.

Saldırganlar, borsanın cüzdan anahtarlarına ulaştıktan sonra Bitmart'ın cüzdanlarındaki kripto paralar üzerinde istedikleri her şeyi yapabildiler.

Saldırganların daha karmaşık numaralarından biri, Safemoon, Shiba Inu (SHIB) ve diğer birçok token için otomatik çekim işlemleri ayarlamalarıydı.

Güvenlik şirketi PeckShield, tuhaf işlemleri ilk fark edendi ve herkesi bu konuda bilgilendirdi. Çok geçmeden Bitmart CEO'su Sheldon Xia hack olayını doğruladı ve sitedeki para çekme ve yatırma işlemlerini zararı değerlendirebilene kadar durdurdu.

Bitmart, kullanıcılarına kendi ceplerinden kayıplarını karşılayacaklarını hızlı bir şekilde bildirdi.

Diğer hack olayları gibi, Bitmart hacki de sıcak cüzdanların saklanmasıyla ilgili büyük güvenlik sorunlarını gündeme getirdi. İnternete sürekli bağlı olan herhangi bir şey saldırıya açık olabilir.

Ancak olayın daha fazlası da var.

Bu tür saldırılar, merkezi borsaların ne kadar güvenilir olduğunu ve kullanıcı paralarını ne kadar iyi koruyabildiklerini sorgulatıyor.

Olay sonucunda, birçok kişi güvenliğin artırılması ve soğuk cüzdan depolamanın daha popüler hale gelmesi gerektiği sonucuna vardı, böylece benzer problemler tekrar yaşanmaz.