Logo

Güvenlik İş Başında - Gerçek Bir Hack ve DAO'nun Geri Alışı

June 9, 2026
Güvenlik İş Başında - Gerçek Bir Hack ve DAO'nun Geri Alışı

Dün DAO, bir testten çok daha ciddi bir konu için oy kullandı.

Kullanıcılarımızdan biri hacklendi. Tüm işi, NFT ve partner yapısı, çalındı. Ve dün, topluluk oylamasıyla, gerçek sahibine geri verildi.

Birçoğunuz hikâyenin tamamını sordu. İşte açık açık: ne oldu, nasıl çözüldü, bu protokolün nasıl kurulduğu hakkında neyi kanıtlıyor ve bu yüzden eklediğimiz yeni güvenlik katmanı ne.

Ne oldu

Katılımcılarımızdan birinin cüzdanı ele geçirildi. Saldırgan, cüzdanın seed phrase'ine, yani içindeki her şeyin ana anahtarına erişti.

Bir konuda net olalım: bu, platformun ya da smart contract'ların ihlali değildi. Protokolün kendisi asla ele geçirilmedi. Saldırgan, kullanıcının cüzdanına eski yöntemle girdi, anahtarları çalarak.

O sırada Business Sale işlevi geçici olarak açıktı. Bunu daha önce DAO governance testi kapsamında etkinleştirmiş ve kamuya duyurmuştuk. Saldırgan o açık pencereyi kullandı. Ele geçirilmiş cüzdanın kontrolüyle bir business transfer tetikledi ve mağdurun tüm hesabını, NFT'yi ve eksiksiz partner-tree yapısını, kendi adresine taşıdı.

Aylar içinde kurulmuş bir iş, tek işlemde gitti.

Her şeyden önce, en önemli konu

Bunun nasıl çözüldüğünü anlamak için önce neyin olamayacağını anlamanız gerekiyor.

Ekibin işinize erişimi yok. Hiç yok.

NFT'nizi taşıyamayız. Yapınıza dokunamayız. Hesabınızdaki hiçbir şeyi donduramaz, el koyamaz ya da transfer edemeyiz. Bu, yarın sessizce değiştirebileceğimiz bir politika değil, smart contract'ların böyle inşa edilmesi, CertiK denetiminde doğrulanması ve blockchain'in kendisi tarafından uygulanmasıdır.

Merkeziyetsizlik gerçekte budur. Hesaplara girip bir şeyleri kendi başımıza “düzeltebilseydik”, varlıklarınız ancak bizim iyi niyetimiz kadar güvende olurdu ve bize bir bankaya güvendiğiniz gibi güvenmek zorunda kalırdınız. Bu protokol tam da o modelin yerine geçmek için kuruldu.

Yani hack olayı yaşandığında basılacak bir admin düğmesi yoktu. Olamazdı. Ve bu bilinçli bir tasarım.

Aslında nasıl çözüldü

Var olan şey DAO.

Mağdur destek ekibiyle iletişime geçti. Upline lideri, yani onu ekosisteme ilk getiren kişi, yanında durdu ve durumu doğruladı. Ekip, sahibin kimliğini ve yeni, güvenli bir cüzdan üzerindeki tek kontrolünü doğruladı. Sonra harekete geçme yetkisi olan tek mekanizma devreye alındı: topluluk oylaması.

İki öneri on-chain'e taşındı:

1. Business Sale'i devre dışı bırak. Governance test aşaması zaten tamamlanmıştı ve açık transfer yolu, saldırganın kullandığı yüzeyin ta kendisiydi. DAO, işlevi protokol genelinde kapatmak için oy verdi. Gelecekteki bir oylama aksini kararlaştırana kadar kapalı kalacak.

2. Çalınan hesabı geri al. DAO, çalınan pozisyonun, NFT'nin, yapının ve ona bağlı her şeyin, saldırganın adresinden yalnızca doğrulanmış sahibin kontrol ettiği yeni bir cüzdana taşınmasına izin verdi. Eski cüzdana değil: o cüzdan hâlâ ele geçirilmiş durumda ve işi oraya geri koymak, onu doğrudan aynı saldırgana teslim etmek olurdu.

İki öneri de geçti. İkisi de on-chain yürütüldü. Tüm öneri metinleri, her ayrıntıyı görmek isteyen herkes için DAO sayfasında herkese açık.

Sonuç: sahip, güvenli bir cüzdandan işinin başına döndü. Saldırganın adresinde hiçbir şey kalmadı.

Kayıtlara geçsin, DAO kötü niyetli bir hesabı tamamen dondurma gücüne de sahip. Bu vakada buna gerek bile kalmadı, migration saldırganın elindeki her pozisyonu söküp aldı.

Bu neyi kanıtlıyor

Önerileri, oylamayı ve yürütmeyi doğrulamak için bir governance testi planlamıştık. Bunun yerine, tüm güvenlik modelini gerçek baskı altında bırakan canlı bir olay yaşadık.

Model ayakta kaldı:

  • Ekip tek başına hiçbir şey yapamadı, tasarım gereği.

  • Topluluk, DAO üzerinden gereken her şeyi yapabildi, saldırı yüzeyini kapattı, saldırganı pozisyonlardan çıkardı, sahibin hesabını geri verdi.

Bütün mesele bu birleşim. Tek bir taraf, ekip de dahil, herhangi bir kişi de dahil, varlıklarınıza dokunamaz. Ama topluluk, açık bir on-chain oylama üzerinden birlikte hareket ederek bir şeyler ters gittiğinde adaleti geri getirebilir.

Merkezi platformlar size ikincisini verir, ilkini vermez. Çoğu DeFi size ilkini verir, ikincisini vermez. Bu protokolde ikisi de var.

Şu anda ne yapmalısınız

Protokolün savunmaları çalıştı. Ama bu olay, çoğu olayın başladığı yerde başladı: ele geçirilmiş bir cüzdanla. En güçlü güvenlik katmanı, sizin kurduğunuz katmandır.

Bugün üç şey:

1. Finansal şifrenizi ayarlayın. Para hareketleri için gereken, giriş şifrenizden bağımsız ayrı bir şifre. Bir dolandırıcı onsuz hesabınıza girerse duvara çarpar.

2. Platformun size verdiği her güvenlik katmanını açın. İşlemler için TAN kodları, 2FA ve işlem doğrulaması için resmi Telegram botu. Her katman, saldırganın kırması gereken bir şey daha demek.

3. Seed phrase'inizi işin kendisiymiş gibi koruyun. Çünkü öyle. Onu hiçbir web sitesine yazmayın, kimseyle paylaşmayın, bulut notlarında ya da ekran görüntülerinde saklamayın.

Bu katmanlar kurulmadıysa, içeri giren bir saldırgan hızlı hareket edebilir. Açtığınız her katman onu yavaşlatır ya da tamamen durdurur.

Yeni: Secret Code

Bu vaka bize bir katmanın daha nerede anlamlı olduğunu gösterdi. Bu yüzden ekliyoruz.

Önümüzdeki hafta içinde Secret Code adlı yeni bir account security system öğesini devreye alıyoruz.

Nasıl çalışır:

  • Finansal şifrenizi oluşturduğunuzda sistem bir Secret Code üretir, size bir kez gösterilen rastgele tek bir kelime.

  • Zaten finansal şifreniz varsa kodunuz da size gösterilecek.

  • Bunu yazın ve çevrimdışı saklayın. Ona seed phrase'e davrandığınız gibi davranın.

  • Bundan sonra desteğe yapılacak güvenlik açısından hassas her talep, finansal şifre sıfırlama, recovery işlemleri, bu kategorideki her şey, Secret Code'unuzu söylemenizi gerektirecek.

Kod yoksa değişiklik de yok. Saldırgan e-postanızı ya da mesajlarınızı ele geçirse bile, o kelime olmadan destek karşısında sizin yerinize geçemez.

Dünkü oylama tek bir hesabı düzeltmekten fazlasını yaptı. Bu protokolün, production ortamında ve gerçek risklerle, kullanıcılarını onların üzerinde merkezi güç tutan kimse olmadan koruyabildiğini gösterdi.

Saldırıya uğrayan kullanıcı işini geri aldı. Saldırgan eli boş kaldı. Bunu topluluk gerçekleştirdi, açıkça, on-chain, oyla.

Adalet yerini buldu. Sistem tam da tasarlandığı gibi çalışıyor.