Ethereum tarihinin en tartışmalı olaylarından biri olan The DAO saldırısı, 17 Haziran 2016’da gerçekleşti. O dönem Ethereum ekosisteminin en büyük kitlesel fonlama girişimi olan The DAO, Alman blockchain şirketi Slock.it tarafından geliştirildi. Proje, 11.000’den fazla yatırımcıdan yaklaşık 12 milyon ETH toplamıştı. Bu miktar o günün fiyatlarıyla yaklaşık 150 milyon dolara denk geliyordu.
Öne Çıkanlar
- The DAO saldırısı, 17 Haziran 2016’da gerçekleşti ve saldırgan yaklaşık 3,6 milyon ETH’yi sözleşmeden çekti.
- Ethereum topluluğu bu olay sonrası hard fork kararı aldı; böylece Ethereum ve Ethereum Classic iki ayrı zincir olarak yoluna devam etti.
- The DAO’dan kalan ve talep edilmeyen 75.000’den fazla ETH, bugün Ethereum güvenliği için kullanılan yaklaşık 130 milyon dolarlık bir güvenlik fonuna dönüştü.
The DAO Saldırısı Ethereum’u Nasıl Değiştirdi?
Saldırgan, The DAO’nun splitDAO fonksiyonundaki bir reentrancy açığını kullanarak sözleşmeden tekrar tekrar ETH çekti. Yaklaşık 3,6 milyon ETH, yani fonun neredeyse üçte biri, saldırganın kontrolündeki “child DAO” adlı yapıya aktarıldı. Ancak bu fonlarda 28 günlük çekim kilidi vardı. Bu süre, Ethereum topluluğuna müdahale için zaman kazandırdı.
O gün yaşananlar yalnızca teknik bir güvenlik açığı değildi. Ethereum’un felsefesini, yönetişim anlayışını ve “kod kanundur” tartışmasını kalıcı biçimde değiştiren bir dönüm noktasıydı.
Hard Fork Kararı Ethereum Classic’i Doğurdu
The DAO saldırısından sonra Ethereum topluluğu ikiye bölündü. Bir grup, akıllı sözleşmede ne yazıyorsa sonucun da ona göre kabul edilmesi gerektiğini savundu. Bu yaklaşım “code is law” yani “kod kanundur” anlayışına dayanıyordu. Bu görüşü savunanlar, zincirin geçmişinin değiştirilmemesi gerektiğini düşünüyordu.
Diğer grup ise saldırının sözleşmenin gerçek amacı olmadığını, ortada açıkça kötüye kullanılan bir hata bulunduğunu ve mağdur yatırımcıların korunması gerektiğini savundu. Ethereum’un bugün bildiğimiz ana zinciri, bu ikinci görüşü benimsedi.
20 Temmuz 2016’da, 1.920.000 numaralı blokta Ethereum hard fork gerçekleştirdi. Saldırıda çekilen ETH’ler bir geri ödeme sözleşmesine taşındı ve DAO token sahiplerine varlıklarını geri alma imkanı sunuldu. Bu karar sonucunda Ethereum ana zinciri bugünkü yoluna devam etti. Eski zinciri sürdürmek isteyenler ise Ethereum Classic adıyla ayrı bir ağ oluşturdu.
Bu olay, Ethereum’un ilk büyük hard fork’u olarak tarihe geçti. Aynı zamanda kripto para dünyasında güvenlik, yönetişim ve merkeziyetsizlik tartışmalarının da en önemli örneklerinden biri oldu.
75.000 ETH’lik Fon Ethereum Güvenliğine Ayrıldı
The DAO saldırısından 10 yıl sonra dikkat çekici bir gelişme yaşandı. O dönem kurtarılan ancak sahipleri tarafından talep edilmeyen ETH’ler, Ethereum güvenliği için kullanılacak uzun vadeli bir fona dönüştürüldü.
Bu fonun temelinde, 2016 sonrasında verilen eski bir söz yer alıyor. Buna göre, Ocak 2017’ye kadar talep edilmeyen kurtarılmış ETH’lerin gelecekte Ethereum güvenlik çalışmalarını desteklemek için kullanılması planlanmıştı. Yıllarca sessiz kalan bu fikir, Wintermute araştırmacılarından birinin eski blog yazısını yeniden fark etmesiyle tekrar gündeme geldi.
Bugün fonda 75.000’den fazla ETH bulunuyor. Bunun yaklaşık 70.500 ETH’si talep edilmemiş ExtraBalance sözleşmesinde, yaklaşık 4.600 ETH’si ise The DAO’nun curator multisig yapısında yer alıyor. Bu ETH’ler stake edilerek uzun vadeli bir güvenlik geliri oluşturuluyor. Elde edilen getiri; güvenlik araştırmaları, araç geliştirme, açık kaynak projeler ve olay müdahale süreçleri için kullanılacak.
Fonun küratörleri arasında Ethereum kurucularından Vitalik Buterin ve eski MetaMask güvenlik lideri Taylor Monahan gibi isimler bulunuyor. Fon ayrıca Ethereum Foundation’ın Trillion Dollar Security girişimiyle de koordineli çalışıyor.
Ancak bu fonun büyüklüğü piyasa koşullarına göre değişiyor. Ocak ayında 75.000 ETH’nin değeri 220 milyon doların üzerindeydi. ETH fiyatının yaklaşık 1.750 dolar seviyesine gerilemesiyle fonun mevcut değeri yaklaşık 130 milyon dolar seviyesine indi.
DAO saldırısına Dair Veriler
| Başlık | Veri |
| The DAO saldırı tarihi | 17 Haziran 2016 |
| The DAO’nun topladığı fon | Yaklaşık 12 milyon ETH |
| O dönemki fon değeri | Yaklaşık 150 milyon dolar |
| Saldırıda çekilen miktar | Yaklaşık 3,6 milyon ETH |
| Hard fork tarihi | 20 Temmuz 2016 |
| Hard fork bloğu | 1.920.000 |
| Yeni güvenlik fonundaki ETH | 75.000’den fazla ETH |
| Fonun Ocak ayındaki değeri | 220 milyon doların üzeri |
| Güncel yaklaşık değer | 130 milyon dolar |
| İlk güvenlik fonu dağıtımı | 1 milyon doların üzerinde |
| Desteklenen proje sayısı | 134 proje |
Başvuru sayısı | 250’den fazla proje |
| Wintermute katkısı | 200.000 dolar |
Güvenlik Riski Artık Koddan Kullanıcı Davranışına Kaydı
The DAO saldırısı, akıllı sözleşme güvenliği sektörünün doğuşunda kritik rol oynadı. O dönemden sonra denetim, formal verification ve güvenlik testleri DeFi projeleri için standart hale gelmeye başladı. Bugün artık büyük protokoller, kod denetimini daha erken aşamalarda gündemine alıyor.
Ancak uzmanlara göre riskin doğası değişti. RedStone kurucu ortağı Marcin Kazmierczak, The DAO fonunun önemli bir ilerleme olduğunu ancak bugünün tehditlerini tamamen karşılamadığını belirtiyor. Ona göre sorun artık yalnızca akıllı sözleşme hataları değil. Büyük kayıpların önemli bölümü çalınan özel anahtarlar, sosyal mühendislik, sahte imza ekranları ve operasyonel güvenlik açıklarından kaynaklanıyor.
Blockaid CEO’su Ido Ben-Natan da benzer bir noktaya dikkat çekiyor. The DAO saldırısı sektöre kod denetiminin önemini öğretti. Ancak bugünün dünyasında kullanıcıların “approve” butonuna bastığı anda neyi onayladığını da izlemek gerekiyor. Yani güvenlik artık sadece kodda değil, cüzdan arayüzlerinde, imza süreçlerinde ve kullanıcı davranışlarında aranmalı.
Bu nedenle The DAO’dan doğan güvenlik fonu sembolik olarak çok değerli olsa da Ethereum’un yeni güvenlik sınavı farklı bir yerde duruyor. Soru artık yalnızca “akıllı sözleşme güvenli mi?” değil. Asıl soru şu: Kullanıcı, işlem yaparken neyi imzaladığını gerçekten görebiliyor mu?
Sık Sorulan Sorular
The DAO hack nedir?
The DAO hack, 17 Haziran 2016’da Ethereum üzerinde çalışan The DAO adlı akıllı sözleşme projesinin saldırıya uğramasıdır. Saldırgan, sözleşmedeki reentrancy açığını kullanarak yaklaşık 3,6 milyon ETH’yi kendi kontrolündeki yapıya aktardı.
The DAO saldırısı Ethereum’u neden ikiye böldü?
Saldırıdan sonra Ethereum topluluğu, zincirin geçmişinin değiştirilip değiştirilmeyeceği konusunda ayrıştı. Hard fork’u destekleyenler mağdurların korunmasını savundu. Karşı çıkanlar ise “kod kanundur” anlayışıyla zincirin değiştirilmemesi gerektiğini söyledi. Bunun sonucunda Ethereum ve Ethereum Classic iki ayrı zincir haline geldi.
The DAO fonu bugün ne için kullanılıyor?
The DAO’dan kalan ve sahipleri tarafından talep edilmeyen 75.000’den fazla ETH, bugün Ethereum güvenliğini desteklemek için kullanılıyor. Fonun staking gelirleri güvenlik araştırmaları, araç geliştirme ve olay müdahale projelerine aktarılıyor.
The DAO saldırısı DeFi güvenliğini nasıl etkiledi?
Bu saldırı, akıllı sözleşme denetimlerinin önemini tüm sektöre gösterdi. O tarihten sonra audit, formal verification ve güvenlik testleri DeFi projeleri için daha merkezi bir konu haline geldi.
Bugünün en büyük Ethereum güvenlik riski ne?
Uzmanlara göre bugünün en büyük riski yalnızca akıllı sözleşme kodu değil. Çalınan özel anahtarlar, sosyal mühendislik saldırıları, sahte imza ekranları ve kullanıcıların neyi onayladığını anlamadan işlem yapması daha büyük tehditler arasında yer alıyor.