2025 ve 2026 başındaki kripto saldırıları, dolar bazında önceki tüm yıllık rekorları exceeded ve 3,4 milyar dolara varan kayıplarla; akıllı sözleşme hataları, tedarik zinciri ihlalleri, oracle manipülasyonu, anahtar hırsızlığı ve siyasi motivasyonlu sabotajların iç içe geçtiği bir tabloda, sektördeki en tehlikeli zafiyetin yalnızca kötü kod değil, yoğunlaşmış güven noktaları olduğunu açığa çıkardı.
2025–2026’da Kripto Saldırılarının Genel Görünümü
Rakamlar kullanılan metodolojiye göre değişse de tartışması zor.
Chainalysis, 2025’teki toplam kripto hırsızlığını 3,4 milyar dolar olarak estimated ve bunu kayıtlara geçen en kötü yıl olarak tanımladı. TRM Labs ve TechCrunch ise ayrı ayrı 2,7 milyar dolarlık bir rakam reported etti. CertiK, 2025’in ilk yarısında 344 olayda 2,47 milyar dolarlık kayıp published ederek, 2024’teki yıl geneli 1,98 milyar dolarlık net kaybı şimdiden aştığını duyurdu.
Karşılaştırma için, TRM Labs 2024 yılı boyunca toplam 2,2 milyar doların çalındığını calculated etmişti. Bu da 2025’in sadece ilk altı ayının, bir önceki yılın tamamını geride bıraktığı anlamına geliyor.
Bu dönemi ayırt edici kılan şey olay sayısı değil. Yoğunlaşma.
Immunefi, 2025’in ilk çeyreğinin kripto saldırıları açısından tarihin en kötü çeyreği olduğunu reported etti; yalnızca 40 olayda 1,64 milyar dolar kayıp yaşandı — 2024’ün ilk çeyreğine göre 4,7 kat artış. Yalnızca iki olay, Bybit ve Cetus, CertiK’in H1 toplamının yaklaşık yüzde 72’sine denk gelen 1,78 milyar dolardan sorumluydu.
Saldırı kategorileri çok değişmedi. Akıllı sözleşme açıkları, oracle manipülasyonu, özel anahtar ele geçirilmesi, borsa operasyonel hataları ve devlet destekli siber saldırılar hâlâ tabloya hâkim. Değişen şey ölçek oldu. Ortalama saldırı büyüklüğü 2025’in ilk yarısında, bir önceki yılın aynı dönemine kıyasla iki katına çıktı ve zarar, az sayıdaki yıkıcı olaya yoğunlaştı.
Aşağıda yer alan en kötü örnekleri birbirine bağlayan şey karmaşıklık değil. Güven — tek bir anahtarda, tek bir tedarikçide, tek bir yönetişim yapısında veya tek bir likidite platformunda yoğunlaşmış güven.
Ayrıca Oku: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv: Teminatsız Basım Bir Stablecoin’i Nasıl Bilanço Krizine Dönüştürdü?
22 Mart 2026’da bir saldırgan, Resolv’un AWS Key Management Service’inde saklanan ayrıcalıklı bir özel anahtarı compromised a privileged private key stored in Resolv's AWS Key Management Service etti ve bunu protokolün USR stablecoin’inde iki devasa, şişirilmiş basım işlemini yetkilendirmek için kullandı.
İlk işlem, yaklaşık 100.000 dolarlık USDC (USDC) yatırımı karşılığında 50 milyon USR oluşturdu. İkinci işlemde ise 30 milyon daha basıldı.
Toplamda yaklaşık 80 milyon teminatsız token dolaşıma entered girdi. Basım anahtarı çoklu imza değil, tek bir harici sahipli hesaptı ve sözleşmede maksimum basım limiti, oracle kontrolleri veya tutar doğrulaması yoktu.
Saldırgan, basılmış USR’yi wstUSR ve stablecoinler üzerinden yaklaşık 11.400 Ether (ETH)’e çevirdi; bu da yaklaşık 24–25 milyon dolar ediyordu. USR fiyatı, yalnızca 17 dakika içinde Curve Finance’te 0,025 dolara kadar crashed düştü — yüzde 97,5’lik bir çöküş.
Stablecoin sömürülerini özellikle yıkıcı yapan şey, teminatın gerçekten var mı yoksa kırılgan mı olduğunu anında ortaya çıkarmalarıdır.
Protokolün yaklaşık 95 milyon dolarlık orijinal teminat havuzu teknik olarak sağlam kalsa da, dolaşımdaki 80 milyon yeni teminatsız token ile Resolv, yaklaşık 95 milyon dolarlık varlığa karşılık 173 milyon dolar civarında yükümlülükle baş başa kaldı. Aave, Morpho, Euler, Venus ve Fluid gibi DeFi protokolleri, maruziyetlerini izole etmek için ihtiyati önlemler aldı.
Zincirleme reaksiyon — exploit, zorunlu satış, depeg, bilanço açığı, panik — bir günden kısa sürede yaşandı.
Ayrıca Oku: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit: Yıla Damga Vuran 1,5 Milyar Dolarlık Mega İhlal
Kripto para hırsızlığı tarihinde hiçbir tekil olay, dolar bazında 21 Şubat 2025’te Bybit’te happened olana yaklaşmıyor.
Zincir üstü araştırmacı ZachXBT, borsanın Ethereum (ETH) soğuk cüzdanından 1,46 milyar doları aşan şüpheli çıkışları ilk fark eden isim oldu. FBI, hırsızlığı sonrasında Kuzey Kore bağlantılı TraderTraitor kümesine, yani Lazarus Group’un bir parçasına attributed etti ve rakamı yaklaşık 1,5 milyar dolar olarak açıkladı.
Yaklaşık 401.347 ETH çalındı. Bu rakam, daha önce kripto tarihinin en büyük iki olayı olan Ronin Network ve Poly Network saldırılarının toplamını aştı.
İhlal, Bybit’in kendi kodunun bir hatasından kaynaklanmıyordu. Sygnia ve Verichains tarafından yürütülen adli incelemeler, kök nedeni üçüncü taraf çoklu imza platformu Safe{Wallet}’ın tedarik zinciri kompromisine traced etti. Saldırganlar, en geç 4 Şubat’ta bir Safe geliştiricisinin macOS bilgisayarını ele geçirerek AWS oturum belirteçlerini çaldı ve 19 Şubat’ta Safe web arayüzüne kötü amaçlı JavaScript injected etti.
Kod, yalnızca Bybit’in belirli Ethereum soğuk cüzdanı bir işlem başlattığında etkinleşiyordu. Altı çoklu imza imzalayıcısından üçü, manipülasyonu fark etmeden işlemi onayladı.
Bybit CEO’su Ben Zhou, borsanın 16 milyar doları aşan saldırı öncesi rezervlerle hâlâ batmaz durumda olduğunu confirmed açıkladı. 72 saat içinde, Bybit Galaxy Digital, FalconX, Wintermute ve Bitget’ten aldığı acil kredilerle ETH rezervlerini replenished etti. Ancak 20 Mart’a gelindiğinde, çalınan ETH’nin yaklaşık yüzde 86’sı, neredeyse 7.000 cüzdanda Bitcoin (BTC)’e dönüştürülmüştü.
Buradan çıkan ders net: Tek bir platform, tek bir ihlal, tek bir olay — ve sektörün yıllık kayıp profili tamamen değişiyor. En kötü kripto çöküşlerinin bazıları, kullanıcıların ölçeği güvenlikle eşitlediği noktalarda yaşanıyor.
Ayrıca Oku: After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Sui Üzerindeki Cetus: 223 Milyon Dolarlık Exploit Bir Amiral DEX’i Nasıl Dondurdu?
Mayıs 2025’te, Sui (SUI) ağının en büyük merkeziyetsiz borsası Cetus, likidite havuzlarından yaklaşık 223 milyon doların boşaltıldığı bir saldırıya hit oldu. Kök neden, protokolün yoğunlaştırılmış likidite matematik kütüphanesindeki bir tamsayı taşması (integer overflow) hatasıydı.
Bir fonksiyon, değerleri tek bir bitlik farkla hatalı bir eşik değere compared ediyor ve saldırganın tek bir token yatırarak milyonlarca dolar değerinde likidite pozisyonları almasına izin veriyordu.
Sui doğrulayıcıları, zincir üzerinde çalınan fonların yaklaşık 162 milyon dolarlık kısmını dondurmak gibi olağanüstü bir adım took attı; bu hareket, yüzde 90,9 destekle yönetişim oylamasıyla onaylandı. Yaklaşık 60 milyon dolar ise dondurmadan önce Ethereum’a köprülenmişti.
Cetus, 17 günlük bir kesintinin ardından, kurtarılan fonlar, nakit rezervlerinden 7 milyon dolar ve Sui Foundation’dan alınan 30 milyon dolarlık USDC kredisiyle havuzları yeniden doldurarak operasyonlarını resumed etti.
Bir amiral likidite platformu çöktüğünde, tüm zincirin itibarı darbe alır. Token fiyatları, zincir algısı, kullanıcı güveni ve ekosistem aktörlerinin acil müdahale ihtiyacı — patlama yarıçapı, yalnızca protokolün çok ötesine uzanır.
Ayrıca Oku: Brazil Freezes Crypto Tax Rules
GMX: Önde Gelen Bir Perpetual Platformu Neden Yine de 42 Milyon Dolardan Fazla Kaybetti?
Temmuz 2025’te GMX, Arbitrum üzerindeki V1 sürümünde, çapraz sözleşme yeniden giriş (cross-contract reentrancy) açığı nedeniyle 42 milyon dolardan fazla kayıp yaşayarak exploited edildi. Azaltma emirlerini (decrease orders) çalıştırmaktan sorumlu fonksiyon, standart bir cüzdan yerine parametre olarak akıllı sözleşme adresi kabul ediyordu.
ETH iade adımı sırasında yürütme saldırganın kötü niyetli sözleşmesine geçti ve bu da, dahili fiyatlandırma verilerinin gerçek piyasa fiyatının yaklaşık 57 kat altına çekilebildiği bir yeniden giriş saldırısına imkân verdi.
GMX, yaklaşık 5 milyon dolar değerinde, yüzde 10’luk bir beyaz şapka ödülünü, 48 saatlik bir süreyle offered etti ve yaklaşan yasal işlem tehdidi. Saldırgan yaklaşık 37,5 milyon ila 40,5 milyon dolar arasındaki tutarı dilimler hâlinde iade etti ve “bounty”yi elinde tuttu. GMX daha sonra etkilenen GLP sahipleri için 44 milyon dolarlık bir tazminat planını tamamladı.
Fonların geri dönmesi, sistemin çalıştığı anlamına gelmez. Beyaz şapka söylemi, bounty teklifleri ve kısmi geri kazanım, alttaki güvenlik açığını ortadan kaldırmadan piyasa tepkisini yumuşatabilir.
İronik bir şekilde, söz konusu güvenlik açığı 2022’deki önceki bir hatayı düzeltmek için yapılan bir güncelleme sırasında ortaya çıkmıştı. GMX V2 etkilenmedi.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex: Bir Kripto Hack’i Jeopolitik Savaşa Dönüştüğünde
2025 Haziran’ında, İran’ın en büyük kripto para borsası Nobitex, Bitcoin, Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) ve TON (TON) dâhil olmak üzere birden fazla blokzinciri üzerinde yaklaşık 90 milyon dolar kayba yol açan bir hack’e uğradı.
İsrail yanlısı hacker grubu Gonjeshke Darande (Predatory Sparrow olarak da bilinir) sorumluluğu üstlendi.
Saldırı, İsrail–İran arasındaki aktif askerî çatışmalar sırasında gerçekleşti.
Bu finansal motivasyonlu bir hırsızlık değildi. Çalınan fonlar, kurtarılabilir özel anahtarları olmayan ve İran Devrim Muhafızları Ordusu (IRGC) karşıtı mesajlar içeren süs (vanity) “burner” adreslere gönderildi; bu da 90 milyon doların fiilen siyasi bir mesaj olarak yakılması anlamına geliyordu.
Ertesi gün saldırganlar, Nobitex’in tüm kaynak kodunu, altyapı dokümantasyonunu ve iç gizlilik Ar-Ge çalışmalarını kamuya açık hâle getirdi.
Bazı kripto hack’leri aslında kâr maksimize etmeye odaklı değildir. Sabotaj, mesaj verme veya siber savaş niteliğindedirler. Bu da onları, motivasyon, yöntem, sonuçlar ve kurtarma imkânsızlığı gibi hemen her boyutta protokol açıklarından farklı kılar. Nobitex, olayın ardından kısmi faaliyetlerine yeniden başladığını bildirdi, ancak gelen işlem hacimleri temmuz başında yıllık bazda yüzde 70’ten fazla düştü.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra: GMX Bağlantılı Kazanlar Üzerinden DeFi Borçlanmasını Vuran Exploit
25 Mart 2025’te bir saldırgan, Abracadabra Finance’in “cauldron” olarak bilinen borç verme piyasalarından yaklaşık 6.260 ETH — o tarihte yaklaşık 13 milyon dolar — çekti. Hedef alınan kazanlar, teminat olarak GMX V2 likidite havuzu token’larını kullanıyordu ve exploit, gmCauldron sözleşmelerindeki durum takibi hatalarından yararlanan, flash kredi destekli bir kendi kendini tasfiye tekniğine dayanıyordu.
Çalınan fonlar Arbitrum’dan Ethereum’a köprülendi. Güvenlik firması PeckShield, olayı ilk fark edenler arasındaydı. GMX, kendi sözleşmelerinin etkilenmediğini doğruladı.
Abracadabra, yüzde 20 oranında bir bug bounty teklif etti. Bu, protokolün ikinci büyük hack’iydi; Ocak 2024’te 6,49 milyon dolarlık bir exploit Abracadabra’yı vurmuştu.
Bu olay, bileşebilirlik (composability) riskini gözler önüne seriyor. Bir protokol tek başına güvenli görünebilir, ancak entegrasyonlar ve bağımlılıklar üzerinden savunmasız hâle gelebilir.
DeFi kullanıcıları için asıl önemli olan kaputun altında ne olduğu — bir protokolün hangi teminat türlerini kabul ettiği, hangi haricî sözleşmeleri çağırdığı — ve para yatırdıkları üst düzey marka isminden daha çok bunlardır.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid ve JELLY: Piyasa Yapısı Draması ve Merkezileşme Soruları
26 Mart 2025’te bir saldırgan, Hyperliquid üzerinde likit olmayan JELLY memecoin’inde 4,1 milyon dolarlık kısa pozisyon açtı; bunun yanında iki dengeli uzun pozisyon aldı ve sonrasında token’ın spot fiyatını yüzde 400’ün üzerinde şişirdi.
Kısa pozisyon tasfiye edildiğinde, Hyperliquid’in otomatik HLP kasası batık pozisyonu devraldı ve kasanın gerçekleşmemiş zararı yaklaşık 13,5 milyon dolara ulaştı.
Hyperliquid doğrulayıcıları daha sonra tüm JELLY pozisyonlarını zorla kapattı ve dış oracle’ların 0,50 dolar bildirmesine rağmen, saldırganın ilk kısa giriş fiyatı olan 0,0095 dolardan uzlaşmaya gitti.
İşlem iki dakika içinde gerçekleştirildi ve protokolün her set için yalnızca dört doğrulayıcıya dayandığını ortaya çıkardı.
Buradaki skandal sadece kayıp tutarı değil.
Bitget CEO’su Gracy Chen, Hyperliquid’i kamuya açık şekilde “FTX 2.0” diye niteledi. Protokolün kilitli toplam değeri bir ay içinde 540 milyon dolardan 150 milyon dolara düştü ve HYPE token’ı yüzde 20 geriledi. Hyperliquid daha sonra, varlık listeden çıkarma kararları için zincir üstü doğrulayıcı oylamasına geçti.
Kriz anında sözde merkeziyetsiz bir platform merkezi bir aktör gibi davrandığında ne olur? Dolar kaybı en büyük vakalardan küçük olsa bile, bu soru her tür araştırma kitlesi için anlamlıdır. Bu olay, itibar açısından önemli bir fay hattını açığa çıkardı.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool: Sonsuz Mint Riski ve Düşük Likiditenin Daha Büyük Bir Hata Üstünü Nasıl Örtebildiği
2025 Haziran’ında Meta Pool, bir saldırganın hiçbir ETH teminatı yatırmadan 9.705 mpETH — yaklaşık 27 milyon dolar değerinde — mint etmesine izin veren bir akıllı sözleşme exploit’i yaşadı.
Açık, ERC-4626 mint fonksiyonunda bulunuyordu. Saldırgan, protokolün hızlı “unstake” işlevini kullanarak normal bekleme süresini atladı.
Ancak gerçekleşen fiili zarar yalnızca yaklaşık 132.000 dolardı. İlgili Uniswap swap havuzlarındaki zayıf likidite, saldırganın sadece 52,5 ETH çekebilmesiyle sonuçlandı.
Bir MEV botu saldırının bir kısmını “front-run” ederek yaklaşık 90 ETH çekti ve bu likidite daha sonra protokole geri döndü. Kullanıcılar tarafından başlangıçta stake edilen 913 ETH ise SSV Network operatörleri nezdinde güvende kaldı.
Bazen hata, gerçekleşen zarardan çok daha büyüktür. Bu vakadaki exploit yolu teorik olarak yıkıcı bir hasar potansiyeli taşıyordu, ancak zayıf likidite, çıkarılabilecek miktarı sınırladı. Bu ayrım, DeFi riskini değerlendiren herkes için önemlidir ve bu olaya, yalnızca dolar kaybına göre yapılan basit bir sıralamadan daha fazla analitik derinlik kazandırır.
Also Read: UK Set To Block Crypto Donations
Cork Protocol: a16z Destekli, Yine de Exploit Edildi
28 Mayıs 2025’te Cork Protocol, yaklaşık 12 milyon dolarlık bir exploit’e uğradı. Saldırgan, Cork Hook’un beforeSwap mantığındaki kusurları ve eksik erişim kontrollerini kullanarak 3.761 wstETH çekti.
Temel neden, girdi doğrulamasının eksikliği ile güvenlik korkulukları olmadan izin gerektirmeyen piyasa yaratma özelliğinin birleşmesiydi; bu da saldırgana, itfa varlığı olarak meşru bir DS token’ı kullanan sahte bir piyasa oluşturma olanağı verdi.
Cork, Eylül 2024’te a16z crypto ve OrangeDAO’dan yatırım almıştı.
Buradan çıkarılacak ders basit: Kurumsal yatırımcılar, üst düzey girişim sermayesi desteği ve cilalı bir marka imajı teknik riski ortadan kaldırmaz. Okuyucular, fonlama kalitesini protokol güvenliğiyle karıştırmamalı ve denetimlerin — ne kadar kapsamlı olursa olsun — garanti olmadığını unutmamalıdır. Tüm sözleşmeler tespit sonrası derhal durdurulsa da para geri gelmedi.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx: Yinelenen Bir DeFi Zafiyeti Olarak Oracle Manipülasyonu
2025 Nisan’ında KiloEx, Base, opBNB ve BNB Smart Chain üzerinde yaklaşık 7 ila 7,5 milyon dolar kaybetti; sebep, platformun MinimalForwarder sözleşmesindeki bir erişim kontrol açığının istismarıydı. Bu kusur, herhangi birinin fiyat belirleme fonksiyonlarını çağırabilmesine izin veriyordu.
Saldırgan, kaldıraçlı pozisyon açarken oracle’ı ETH için 100 dolar gibi mantıksız derecede düşük bir fiyat rapor etmeye zorladı, ardından 10.000 dolardan pozisyonu kapattı.
KiloEx, 750.000 dolarlık (yüzde 10) bir beyaz şapka bounty’si teklif etti. Dört gün sonra saldırgan tüm çalınan fonları iade etti ve KiloEx yasal işlem başlatmayacağını duyurdu.
Platform 10 günlük bir duraklamanın ardından faaliyetlerine devam etti ve kesinti sırasında açık kalan kullanıcı pozisyonları için bir tazmin planı yayımladı.
Bu vaka, oracle riskini açıklamak için en sade örneklerden biridir. Hatalı fiyat verileri, saldırganların pozisyonları sahte değerlerden açıp kapatmasına izin verebilir. “Gelişmiş” olarak pazarlanan birçok exploit hâlâ eski yapı taşlarına dayanıyor: hatalı fiyat beslemeleri, öngörülebilir varsayımlar, yetersiz doğrulama. Oracle manipülasyonu, DeFi’nin en kalıcı zayıflıklarından biri olmaya devam ediyor.
Also Read: Gold's WorstWeek Since 1983
Modelin Ortaya Çıkardığı Şey
Yukarıdaki 10 vaka, mekanizma, ölçek ve motivasyon açısından farklı. Ancak yapısal bir örüntüyü paylaşıyorlar.
Finansal açıdan en yıkıcı olaylar — Bybit ve Resolv — hiç de zincir üzerindeki hatalardan kaynaklanmadı. Bunlar altyapı düzeyinde yaşanan başarısızlıklardı: birinde ele geçirilmiş bir geliştirici bilgisayarı, diğerinde ise bulut altyapısında saklanan, tek ve korunmasız bir basım anahtarı. Her iki durumda da hasar, özellikle kullanıcıların var olduğunu varsaymadığı merkezi güven noktaları bulunduğu için felaket boyutuna ulaştı.
Cetus ve GMX gibi protokol düzeyindeki açıklar kod hatalarını içeriyordu, ancak hasarın büyüklüğünü belirleyen şey yönetişim tepkileriydi — doğrulayıcıların fonları dondurup donduramadığı, ödül pazarlıklarının başarıya ulaşıp ulaşmadığı ve ekosistem aktörlerinin acil finansmanla devreye girip girmediği.
Nobitex, anlamlı hiçbir açıdan bir protokol istismarı değildi; bu, jeopolitik bir sabotaj eylemiydi.
Genel tablo iç açıcı değil. Daha az olay yaşanması, daha az hasar olduğu anlamına gelmiyor. Ortalama şiddet artıyor. Sadece Kuzey Kore, 2025 yılındaki hırsızlıkların 2 milyar dolardan fazlasından sorumluydu; bu, yıldan yıla yüzde 51’lik bir artış demek.
Kriptoda en çok önem taşıyan güvenlik çevresi, zincir üzerindeki mantıktan zincir dışı altyapıya, anahtar yönetimine ve insan kaynaklı operasyonel güvenliğe kaymış durumda.
Perakende kullanıcılar, token yatırımcıları ve protokol ekipleri için veriler aynı sonuca işaret ediyor. Artık soru, bir protokolün akıllı sözleşmelerinin denetlenip denetlenmediği değil. Soru, yoğunlaşmış güvenin nerede toplandığı — ve bu güven noktası çöktüğünde ne olacağı.
Sonraki Yazı: Bitcoin Mining Difficulty Falls 7.76%