Kripto endüstrisi, 2025 yılında eşi görülmemiş bir güvenlik ihlali dalgasıyla karşı karşıya kalmaya devam ediyor. Yılın ilk yarısında tek başına 3,1 milyar dolardan fazla dijital varlığın çalındığına dair kapsamlı yeni bir rapora göre, Hacken blok zinciri güvenlik firmasından. Kayıplar, esas olarak erişim kontrol zaafiyetleri, eski kod tabanları ve yapay zeka odaklı saldırılar tarafından tetiklendi ve 2024 yılının toplamını şimdiden aşıyor. Hacken'ın bulguları, DeFi ve CeFi sistemlerindeki kalıcı yapısal zayıflıkları, özellikle insan ve süreç seviyesindeki güvenlik alanında vurguluyor. Şubat ayındaki 1,5 milyar dolarlık Bybit saldırısı gibi büyük olaylar istatistiksel uç değerler olabilirken, rapor, kayıpların çoğunun önlenebilir kusurlardan, genellikle eski kodlar, yanlış yapılandırılmış izinler veya korunmasız API'lar ile ilişkili olduğuna dikkat çekiyor.
Erişim kontrol zafiyetleri, yetkisiz kişilerin zayıf izin ayarları nedeniyle ayrıcalıklı fonksiyonları ele geçirmesi durumu, 2025'te çalınan fonların tahmini %59'unu oluşturdu ve bu, Hacken raporuna göre on milyarlarca dolarlık kayba eşdeğer. Bu eğilim, 2024'ü yansıtıyor, burada benzer kontrol katmanı zayıflıkları sömürülme verilerini domine etti. Ancak 2025'te saldırılar hem ölçek hem de sofistike açısından hızla arttı ve birçok büyük ölçekli saldırılar eski akıllı sözleşmeleri ve bayat yönetici mekanizmalarını hedef aldı.
"Projeler, eski veya çalışmayı durdurmamış kod tabanlarına dikkat etmelidir," dedi Yehor Rudytsia, Hacken'de Adli ve Olay Yanıtı Başkanı. "Birçok protokol, daha önce kullanımdan kalktığı düşünülen versiyonlarına ait yönetici fonksiyonlarına halen maruz bırakıyor."
Rudytsia, GMX v1 örneğine işaret ederek, 2025 yılının üçüncü çeyreğinde eski sözleşme yapısındaki zayıflıkların aktif olarak istismar edildiğini belirtti.
DeFi ve CeFi Platformları Kan Kaybetmeye Devam Ediyor
Toplamda, merkezi olmayan finans (DeFi) ve merkezi finans (CeFi) platformları, bu yıl işletme ve güvenlik hataları nedeniyle 1,83 milyar dolardan fazla kayıp yaşadı. İkinci çeyrekteki en önemli olay, sadece 15 dakika içinde 223 milyon dolarlık kayba yol açan Cetus protokolü sömürüsüydü ve bu, 2023 başından bu yana en kötü DeFi çeyreği yaptı ve beş çeyrelik azalan saldırı hacimleri eğilimini sona erdirdi.
Hacken'in analizine göre, Cetus saldırganı, likidite havuzu hesaplamalarındaki hatalı taşma kontrolünden faydalanan bir flash loan saldırısı kullandı. 264 havuzda bir dizi mikro pozisyon açarak, sistemin kapasitesini aştı ve gerçek zamanlı güvenlik mekanizmalarını tetiklemeden büyük likidite boşalttı.
"Cetus, otomatik durdurma eşiğlerine sahip dinamik bir TVL izleme sistemi uygulasaydı, çalınan fonların %90'ının korunabileceğini tahmin ediyoruz," diye yazdı Hacken raporunda.
Bu olay, ikinci çeyrek için sömürü türlerinin dağılımını da değiştirdi. Erişim kontrol hataları 14 milyon dolara düştü - 2024'ün ikinci çeyreğinden bu yana en düşük seviye - ancak akıllı sözleşme hataları yükseldi ve uzun vadede izin hatalarının hala egemen olsa da kod seviyesindeki sorunların kritik riskler oluşturduğunu gösteriyor.
AI ve LLM'ler Yeni Saldırı Vektörleri Sunuyor
Hacken'in 2025 raporundaki en endişe verici açıklamalardan biri, yapay zeka ile ilgili kripto güvenlik olaylarındaki dramatik artış. Büyük dil modelleri (LLM'ler) ve yapay zeka entegrasyonlu Web3 altyapısı ile bağlantılı istismarlar, 2023'e kıyasla şaşırtıcı bir %1.025 oranında artış gösterdi ve bu saldırıların çoğu, zincir üzeri mantık ile zincir dışı zekâ sistemleri arasında bağlantı kurmak için kullanılan güvenliği zayıf API'leri hedef aldı.
Analiz edilen yapay zeka ile ilgili olaylardan:
- Yapay zeka ile ilgili güvenlik ihlallerinin %98,9'u ifşa edilmiş veya yanlış yapılandırılmış API'ler içeriyordu.
- 2025 yılında LLM'ler ile ilişkili beş yeni Yaygın Güvenlik Açıkları ve İstismarları (CVE) eklendi.
- Web3 projelerinin %34'ü artık üretim ortamlarında yapay zeka ajanları kullanıyor ve bu da onları giderek daha cazip hedefler haline getiriyor.
Bu saldırılar, Web2 zafiyetleri ve Web3 altyapısı arasında büyüyen örtüşmeyi vurguluyor, özellikle de kripto platformları müşteri destek sistemlerine, otonom ajanlara ve DAO’lara makine öğrenimini entegre etmeye çalışırken.
"Geleneksel güvenlik çerçeveleri geride kalıyor," Hacken yazdı, ISO/IEC 27001 ve NIST Siber Güvenlik Çerçevesi gibi standartların, henüz komut enjeksiyonu, model halüsinasyonu ve veri zehirleme gibi yapay zeka özel tehditlerini ele almak için adapte edilmediğini belirterek.
Halka Çekilmeler ve Dolandırıcılıklar Hâlâ Büyük Bir Sorun
Teknik sömürülerin ötesinde, kripto alanı, sosyal mühendislik saldırıları, dolandırıcılık şemaları ve yatırımcı fonlarını topladıktan sonra kaybolan "halka çekilme" (rug pull) projeleri nedeniyle acı çekmeye devam ediyor.
Teknik terimlerle bu olayları nicelendirmenin zor olmasına rağmen, Hacken, dolandırıcılıklar da dahil olmak üzere teknik olmayan kayıpların, 2025 yılında perakende ve kurumsal yatırımcılardan yaklaşık 750 milyon dolarlık ek fon kaçışına katkıda bulunduğunu tahmin etti.
Bu yılki en büyük tek halka çekilme, BNB Zinciri'nde bir DeFi getirisi toplayıcıyı içeriyordu. Geliştiriciler, kullanıcı fonlarından 62 milyon dolar çaldıktan sonra tüm proje iletişim kanallarını silip çevrimdışı olarak kayboldular.
Anahtar Dersler ve Öneriler
Hacken'in raporu, hızlı evrilen bir tehdit ortamında projelerin risk maruziyetlerini azaltmalarına yardımcı olacak bir dizi öneri ile sona eriyor:
- Eski Kod Tabanı İncelemeleri: Projelerin, yükseltilmiş izinlere veya yönetici fonksiyonlarına sahip eski akıllı sözleşmeleri denetlemeleri ve devre dışı bırakmaları gerekir. Hacken, bu yıl sömürülen protokollerin %20'sinden fazlasında halen etkin olan savunmasız eski modüller bulunduğunu belirtti.
- Dinamik Erişim Kontrolü: Katı beyaz listeler veya sadece yönetici fonksiyonları yerine, çok imza, zaman kilidi ve tehdit seviyelerine uyum sağlayabilen rol tabanlı sistemler kullanılmalıdır.
- Gerçek Zamanlı İzleme ve Otomatik Durma Sistemleri: Flaş loan saldırıları sırasında fonların hızla boşalmasını engellemek için zincir üzeri telemetri ve gerçek zamanlı TVL hareket uyarıları uygulayın.
- Yapay Zeka Risk Kontrolleri: LLM kullanan projeler, giriş bilgilerini temizlemeli, denetim kayıtları oluşturmaları ve hassas zincir üzeri fonksiyonlara erişimi sınırlamaları gerekir. Açık uçlu temsilci çerçeveleri, katı API beyaz listeleme ve yanıt doğrulaması olmadan dağıtılmamalıdır.
- Kullanıcı Eğitimi: Cüzdan seviyesi güvenlik halen zayıf. Donanım cüzdan kullanımını teşvik etmek, kör imzalamayı devre dışı bırakmak ve işlem simülasyonu uygulamak, oltalama kampanyalarından özel anahtarların ele geçirilmesini azaltabilir.
Güvenlik Artık İsteğe Bağlı Değil
Kripto benimsenmesinin ana finansal sistemler ve kurumsal altyapılara doğru genişlemesiyle, güvenlik artık ikincil bir endişe değil - bu, Web3'ün uzun vadeli yaşanabilirliği için temel bir unsurdur.
Saldırganlar teknik zayıflıklardan süreç seviyesi manipülasyona ve yapay zeka istismarlarına evrilirken, proaktif, uyumlu ve kapsamlı güvenlik standartlarına duyulan ihtiyaç hiç bu kadar acil olmamıştı.
Mevcut eğilim devam ederse, 2025, kripto güvenlik tarihinin maliyetli yılı olma yolunda ilerliyor ve sektör, eski akıllı sözleşmelerden güvenliksiz makine öğrenimi entegrasyonlarına kadar en zayıf halkalarıyla yüzleşmek zorunda kalacak.
"Kripto, insan hatalarının, kötü tasarımların ve yapay zeka istismarlarının her zamankinden daha önemli olduğu yeni bir döneme giriyor," dedi Rudytsia. "Bu dönemi atlatacak protokoller, güvenliği ana ürün olarak düşünen, sonrası bir düşünce değil, olanlar olacak."