On yıl önce dün, The DAO’nun hacklenmesiyle, o dönemin en büyük kitlesel fonlama etkinliğinden milyonlarca Ethereum (ETH) çekildi ve bu olay, Ethereum tarihinde en kritik kararı beraberinde getirdi: zincirin Ethereum ve Ethereum Classic olarak ikiye ayrıldığı hard fork.
Alman blok zinciri şirketi Slock.it tarafından geliştirici Christoph Jentzsch liderliğinde inşa edilen The DAO, saldırıdan üç haftadan az bir süre önce tamamlanan token satışıyla 11.000’den fazla yatırımcıdan yaklaşık 12 milyon ETH, yani o dönemde 150 milyon dolar topladı.
17 Haziran 2016’da, kimliği o zamanlar bilinmeyen bir saldırgan, The DAO’nun splitDAO fonksiyonundaki reentrancy (yeniden giriş) hatasını kullanarak, akıllı sözleşmenin bakiyeleri güncellemesinden önce defalarca Ethereum çekti.
Yaklaşık 3,6 milyon ETH, yani fonun üçte biri, 28 günlük çekim kilidine sahip bir “child DAO”ya aktarıldı. Bu gecikme, Ethereum topluluğuna müdahale için zaman kazandırdı.
The DAO’nun topluluk yöneticisi Griff Green’in de dahil olduğu White Hat Group olarak bilinen gevşek geliştirici grubu, kalan savunmasız fonları kendi kontrol ettikleri sözleşmelere aktarmak için hızla harekete geçti. Bu, canlı bir blok zinciri üzerinde gerçekleşen ve benzeri görülmemiş bir kurtarma operasyonuydu.
Kod Kanundur Tartışması
Bu olay, Ethereum topluluğunu ikiye böldü.
Bir grup, saldırının akıllı sözleşmenin yazılı koduna uygun şekilde gerçekleştiğini ve sonucun değiştirilmemesi gerektiğini savundu. Bu yaklaşım, daha sonra Ethereum Classic’in temelini oluşturdu.
Diğer grup ise, bir hatanın kasıtlı davranış olmadığını ve topluluğun mağdurları korumak için kolektif iradesini kullanması gerektiğini ileri sürdü.
Bugün bildiğimiz Ethereum, ikinci yolu seçti.
20 Temmuz 2016’da, 1.920.000 numaralı blokta, ağ bir hard fork gerçekleştirerek zincirin durumunu saldırı öncesine döndürdü. Oylamaya katılanların yaklaşık %85-%89’u bu kararı destekledi. Çekilen ETH, bir kurtarma sözleşmesine aktarıldı ve orijinal DAO token sahipleri, 100 DAO token başına 1 ETH oranında paylarını çekebildi.
Yeni zincirdeki katılımcılar, zararlarını telafi etti ve bölünmeden kaynaklı bonus ETC aldı. Orijinal zincirde, yani Ethereum Classic’te ise saldırı kayıtlarda kaldı ve saldırgan kendi ETC payını elinde tuttu. Bu, Ethereum’un ilk büyük hard fork’u ve ağı kalıcı olarak ikiye bölen olay oldu.
On Yıl Sonra
Söz konusu saldırı, merkeziyetsiz finans ekosistemini hard fork’un ötesinde etkiledi. O günden bu yana, kripto dünyasında akıllı sözleşme güvenliği endüstrisinin doğuşuna öncülük ettiği kabul ediliyor. Artık denetim ve resmi doğrulama, standart uygulama haline geldi.
Ayrıca, ABD menkul kıymetler hukukunda da dönüm noktası oldu. ABD Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) 2017 tarihli DAO Raporu, DAO token’larının mevcut yasalar kapsamında menkul kıymet olarak değerlendirildiğini ortaya koydu. Bu analiz, o tarihten bu yana kriptoya yönelik yaptırımların temelini oluşturdu.
The DAO Yeniden Doğuyor
Aradan geçen on yılın ardından The DAO, bu kez bir girişim fonu değil, bir güvenlik fonu olarak geri döndü.
The DAO Fund, saldırıdan kısa süre sonra verilen bir taahhüde dayanıyor: Ocak 2017’ye kadar talep edilmeyen kurtarılmış ETH’ler, ileride Ethereum güvenliği için kullanılacaktı.
Bu söz, bir Wintermute araştırmacısının eski blog yazısını bulup Griff Green’e iletmesine kadar askıda kaldı. Green, ocak ayında fonun kurulduğunu duyurdu.
Orijinal kurtarma sürecinden kalan 75.000’den fazla ETH, yani yaklaşık 70.500 ETH ExtraBalance sözleşmesinde ve 4.600 ETH The DAO’nun küratör multisig’inde, uzun vadeli bir vakıf olarak stake ediliyor. Elde edilen getiri, güvenlik araştırmaları, araç geliştirme ve olay müdahalesi için kullanılıyor.
Fonun yönetiminde, Ethereum kurucu ortağı Vitalik Buterin ve eski MetaMask güvenlik lideri Taylor Monahan’ın da aralarında bulunduğu yedi küratör yer alıyor. Fon, Ethereum Vakfı’nın Trillion Dollar Security girişimiyle de koordineli çalışıyor.
Green, ocak ayında The Block’a yaptığı açıklamada, son altı yıldır bir kısır döngüde olduklarını belirtti. Phishing saldırıları ve cüzdan boşaltmalarının, protokolün olgunlaşmasına rağmen sıradan Ethereum kullanıcılarının güvenliğinin geride kaldığını gösterdiğini vurguladı.
Fon, ilk dağıtımını Ethereum Security QF Round adıyla 23 Nisan-14 Mayıs tarihleri arasında gerçekleştirdi. 250’den fazla başvuru arasından seçilen 134 projeye 1 milyon doların üzerinde ETH dağıtıldı. Piyasa yapıcı Wintermute da eşleşme havuzuna 200.000 dolar katkı sağladı.
Green’in ocak ayında fonu duyurduğu dönemde 75.000 ETH’nin değeri 220 milyon doların üzerindeydi. ETH’nin mevcut fiyatı olan 1.750 dolar civarında ise bu miktarın değeri yaklaşık 130 milyon dolara geriledi.
Riskin Yeri Değişti
Fonun yeniden başlatılması, Ethereum’un 2016’daki kararının tamamen onaylandığı anlamına gelmiyor.
Cüzdan güvenliği şirketi Blockaid’in CEO’su Ido Ben-Natan, “Kod kanundur” yaklaşımının hiçbir zaman tam anlamıyla sürdürülebilir olmadığını belirtti. Ona göre, gerçek değer transferi yapılan her sistemde insan takdirine yer bırakmak gerekiyor. Ayrıca, yeni fonun yalnızca hareketsiz ve önceden kurtarılmış varlıklarla sınırlı tutulması, 2016’da zaten sonuçlanmış işlemleri yeniden açmadığı için temkinli bir yaklaşım sunuyor.
Oracle sağlayıcısı RedStone’un kurucu ortağı Marcin Kazmierczak ise, güvenliğin her saldırıdan sonra toplanan bağışlarla değil, kalıcı bir staking vakfından finanse edilmesinin önemli bir ilerleme olduğunu, ancak sistemdeki güvenin tamamen ortadan kalkmadığını, sadece farklı bir noktaya taşındığını savundu.
Artık katılımcılar, yılda yaklaşık 8 milyon dolarlık getirinin akıllıca dağıtılması için yedi küratöre ve fonlama sürecine güveniyor. Önceden ise kodun kusursuz olduğuna güveniliyordu.
Kazmierczak, “Güveni ortadan kaldırmıyor, sadece yerini değiştiriyor” dedi.
Dolar bazında rakamlar da farklı bir perspektif sunuyor. Chainalysis’e göre, kripto piyasası 2025’te saldırılar nedeniyle 3,4 milyar dolar kaybetti. Sadece şubat ayındaki 1,5 milyar dolarlık Bybit saldırısı, toplam kaybın %44’ünü oluşturdu.
Kazmierczak, bu rakamlar karşısında 1 milyon dolarlık bir hibe turunun çok küçük kaldığını belirtti. Ona göre, asıl önemli değişim, Ethereum’un artık sürekli ve kendi kendini finanse eden bir güvenlik havuzuna sahip olması.
Ayrıca, fonun doğru tehdidi hedefleyip hedeflemediğini de sorguladı. The DAO saldırısı bir akıllı sözleşme hatasından kaynaklanmıştı ve denetim süreçlerinin olgunlaşmasıyla bu tür riskler büyük ölçüde kontrol altına alındı. Ancak günümüzdeki büyük kayıplar, çoğunlukla operasyonel hatalardan; çalınan anahtarlar, sosyal mühendislik ve tehlikeye giren imzalama arayüzlerinden kaynaklanıyor.
Bybit saldırısı, Kazmierczak’a göre, Solidity kaynaklı bir hata değil, donanım cüzdanı onaylarını kör imzalara dönüştüren manipüle edilmiş bir imzalama ekranıydı. Ona göre, yeni bir akıllı sözleşme denetimi dalgası finanse etmek, artık paranın gittiği asıl noktayı ıskalamak anlamına geliyor.
Ben-Natan ise bu değişimi daha açık bir şekilde ifade etti. The Block’a verdiği demeçte, reentrancy hatasının sektöre kod denetimi gerekliliğini öğrettiğini, ancak “insanlar onayla butonuna tıkladığında neler olup bittiğine de dikkat etmemiz gerektiğini” söyledi.
Bu içerik hazırlanırken faydalanılan kaynaklar: theblock.co
