KuCoin Hack – Merkezi Borsanın DeFi Takipli Savaşı
Merkezi borsalar genellikle daha güvenli kabul edilir. Ama 2020’de KuCoin, tarihin en büyük borsa saldırılarından birini yaşadı. Asıl şaşırtıcı olan ise, çalınan fonların büyük kısmının geri alınabilmesiydi.
25 Eylül 2020 günü, KuCoin kullanıcıları panik hâlindeydi. Cüzdanlarından beklenmedik şekilde büyük miktarda kripto para çıkışları oluyordu. Kısa sürede borsa tarafından yapılan açıklamayla durum netleşti: Bir güvenlik ihlali gerçekleşmişti.
İlginizi Çekebilir: Silk Road Bitcoin'leri: Dark Web, FBI Operasyonu ve Gizemli BTC Transferleri
Saldırganlar, KuCoin’in sıcak cüzdanlarının özel anahtarlarını (private key) ele geçirmişti. Bu, sıcak cüzdanlardaki fonlara doğrudan erişim anlamına geliyordu. Yaklaşık 281 milyon dolar değerinde kripto para, Ethereum, Bitcoin ve diğer ağlardaki çeşitli token'lar hâlinde çekildi. Bu olay, Mt. Gox ve Coincheck’ten sonra tarihin en büyük üçüncü borsa saldırısıydı.
Saldırının kaynağı asla tam olarak açıklanmadı. Ancak blockchain analitiği uzmanları, sızıntının içeriden bir hata ya da sosyal mühendislik saldırısı sonucu gerçekleşmiş olabileceğini belirtti. KuCoin’in sıcak cüzdanlarının private key'lerinin nasıl ele geçirildiği hâlâ tam olarak bilinmiyor.
Ancak bu saldırının en dikkat çekici yönü, bambaşkaydı: Fonların büyük kısmı geri alındı.
KuCoin, çalınan token’ların izini sürmek için DeFi ve zincir üstü izleme araçlarını kullanarak dev bir takip başlattı. Saldırgan, fonları Uniswap gibi merkeziyetsiz borsalarda parçalayarak gizlemeye çalışsa da, birçok token’ın akıllı kontrat düzeyinde “dondurulabilir” (freezeable) olduğu ortaya çıktı. Geliştiriciler ve projelerle işbirliği yapan KuCoin, toplam kaybın yaklaşık %84’ünü (242 milyon $) kurtarmayı başardı.
Özellikle Tether (USDT), Synthetix, Ocean Protocol, Orion, KardiaChain gibi projeler, çalınan token'ları geçersiz kıldı veya kontratları yeniden dağıttı. Bu olay, merkeziyetsiz olduğu düşünülen DeFi projelerinin acil durumlarda merkezi müdahalelere açık olduğunu da gözler önüne serdi.
Saldırganın kimliği hiçbir zaman kesinleşmedi. Ancak KuCoin, sigorta fonlarını kullanarak geri kalan kayıpları kullanıcılarına tamamen telafi etti ve operasyonlarını durdurmadan sürdürdü. Bu hamle, kullanıcı güvenini büyük ölçüde korudu.
Bu olay DeFi ve CeFi (merkezi finans) kesişiminin ne kadar karmaşık olabileceğini gösterdi.
DeFi’nin izlenebilirliği, merkezi borsaların güvenlik açıklarını kapatmasa da, kriz anlarında güçlü bir kurtarıcı olabileceğini kanıtladı.
KuCoin olayı, şu mesajı verdi:
Merkezi sistemler çöker, ama merkeziyetsiz araçlarla iz sürmek mümkün.
Bu da gelecekteki siber suçlarla mücadelenin yönünü değiştirecek bir dönüm noktasıydı.