Kripto dünyasında “bir gecede her şey değişebilir” cümlesi artık klişe gibi geliyor. Ama bazen gerçekten de öyle oluyor. Solana ekosisteminin öne çıkan DeFi projelerinden Drift Protocol, Nisan 2026 başında yaşanan büyük saldırıyla yeniden bu gerçeği hatırlattı. İlk raporlara göre kayıp 285-286 milyon dolar bandında. Olayın büyüklüğü nedeniyle bu sadece bir “hack” haberi değil; aynı zamanda Solana DeFi’nin güvenlik kültürü, yatırımcı sorumluluğu ve kullanıcı varlıklarının gerçekte ne kadar güvende olduğu üzerine ciddi sorular doğuran bir kırılma anı.
Drift neydi, neden önemliydi?
Drift, Solana üzerinde çalışan ve özellikle perpetual futures ile türev işlemler tarafında öne çıkan merkeziyetsiz bir platformdu. Kısacası kullanıcılar burada kaldıraçlı pozisyon açabiliyor, zincir üstünde ama merkezi borsaya benzer bir deneyim yaşamaya çalışıyordu. Proje 2021’de kuruldu; kamuya açık kaynaklarda en net görünen kurucu isimler Cindy Leow ve David Lu.
Drift’in önemi yalnızca ürününden gelmiyordu. Aynı zamanda Solana ekosisteminde “ciddi”, “hızlı büyüyen” ve yatırımcı desteği güçlü projelerden biri olarak görülüyordu. Erken dönem yatırımcıları arasında Multicoin Capital başta olmak üzere Jump Capital, LedgerPrime, QCP Capital, Robot Ventures gibi isimler yer aldı. Seed turu 2021’de duyurulmuştu; daha sonra da daha büyük yatırım turlarıyla büyümesini sürdürdü.
Ne oldu?
Saldırı sonrası resmi Drift hesabı önce “alışılmadık aktivite” gözlemlediklerini söyledi, ardından sistemin aktif saldırı altında olduğunu belirterek deposit ve withdrawal işlemlerini durdurduğunu açıkladı. Yani ilk refleks, hasarı sınırlamak oldu.
Dış analizlerde öne çıkan tablo ise daha ağırdı. Güvenlik şirketi Elliptic’e göre saldırıda çalınan miktar yaklaşık 286 milyon dolar seviyesindeydi ve ilk bulgular, bunun sıradan bir akıllı kontrat açığından çok ayrıcalıklı erişim / admin anahtarlarının ele geçirilmesi gibi daha kritik bir vektörle ilişkili olabileceğine işaret ediyordu. Elliptic ayrıca saldırının Kuzey Kore bağlantılı aktörlerle ilişkili olabileceğine dair göstergeler bulunduğunu yazdı. Bu, doğrulanmış bir yargıdan çok güçlü bir şüphe olarak görülmeli, ama olayın ciddiyetini artırıyor.
“Güçlü yatırımcılar var, o zaman kullanıcılar kurtulur” demek doğru mu?
İlk bakışta birçok kişinin aklına aynı soru geliyor: “Bu kadar büyük fonlar Drift’e yatırım yaptıysa, şimdi kullanıcıları kurtarmak için devreye girmezler mi?”
Bu düşünce anlaşılır ama otomatik olarak doğru değil. Çünkü risk sermayesi fonları, ismen ne kadar büyük görünürse görünsün, genelde birer sigorta kurumu gibi davranmaz. Multicoin Capital ve Blockchain Capital gibi oyuncular kripto dünyasında ciddi itibara sahip kurumlar. Ancak “itibarlı yatırımcı” ile “müşteri zararını kesin kapatacak yatırımcı” aynı şey değil.
Bir fonun böyle bir olaydan sonra yeni para koyması için genelde üç şarttan biri gerekir:
Birincisi, markanın ve ürünün hâlâ kurtarılmaya değer olması.
İkincisi, hukuki ve itibar maliyetinin kurtarma operasyonunu daha mantıklı hâle getirmesi.
Üçüncüsü ise, yapılacak desteğin karşılığında çok avantajlı ekonomik şartlar elde edebilmesi.
Yani pratikte yatırımcılar “kullanıcıları mağdur etmeyelim” diye saf iyi niyetle 250-300 milyon dolar yazmaz. Daha olası senaryo; kısmi kurtarma, yeniden yapılandırma, hazine kullanım planı, token bazlı sulandırma, alacakların zamana yayılması veya kısmi geri ödeme gibi karma çözümler olur.
Kurucular kim, nasıl bir ekip?
Kamuya açık en net bilgiler kurucu ekipte Cindy Leow ve David Lu’yu gösteriyor. Cindy Leow özellikle daha görünür bir isim. Forbes’un 2025 “30 Under 30” listesinde yer almış olması, onun oldukça genç bir kurucu olduğunu gösteriyor; bu bilgiye göre 2025’te 26 yaşındaydı, yani bugün yaklaşık 27 yaşında olmalı. Ayrıca Stanford değil, Minerva University bağlantısı daha net görünüyor.
David Lu tarafında ise yaşı konusunda aynı netlik yok. Kamuya açık profillerde daha çok UNSW bağlantısı görülüyor. Yani ekip, dışarıdan bakıldığında bir “Stanford mafyası” ya da Silikon Vadisi’nin klasik elit kurucu modeli gibi görünmüyor; daha çok genç, kripto-native, hızla yükselmiş bir Solana ekibi görüntüsü veriyor.
Bu ayrım önemli. Çünkü piyasa bazen genç ve hızlı büyüyen ekipleri, ürün başarıları nedeniyle olduğundan fazla kurumsal ve olgun varsayabiliyor. Oysa kriz anlarında asıl test ürün değil; operasyonel disiplin, risk kontrolü ve kriz yönetimi oluyor.
Solana cephesinden ve büyük isimlerden tepki geldi mi?
Evet. Solana’nın kurucu ismi Anatoly Yakovenko doğrudan uzun bir savunma metni yazmadı, fakat olay sonrasında pratik bir adım olarak Solana DeFi için bir multisig dashboard hazırladığını paylaştı. Bu, ekosistemin olayın ciddiyetini fark ettiğini gösteren teknik bir refleks olarak okunabilir.
Öte yandan X tarafında daha sert ve dikkat çekici tepkiler başka isimlerden geldi. Mert Mumtaz, erken aşamada durumun bir exploit olabileceğine dikkat çekti. ZachXBT ise özellikle çalınan fonların hareketi ve stablecoin ihraççılarının reaksiyonu üzerine sert yorumlar yaptı. Bu da olayın sadece Drift özelinde değil, zincir üstü kriz yönetimi ve ekosistem koordinasyonu açısından da tartışıldığını gösteriyor.
Bundan sonra ne olur?
Bu tür olaylarda üç temel senaryo var.
En iyi senaryo:
Çalınan fonların bir kısmı dondurulur veya geri alınır. Proje yatırımcı desteği ve hazine kaynaklarıyla bir kurtarma planı açıklar. Kullanıcılar zaman içinde zararlarının büyük bölümünü geri alır.
Orta senaryo:
Fonların ancak bir kısmı kurtarılır. Kullanıcılara tam ödeme yerine aşamalı ve kısmi bir plan sunulur. Protokol yaşamaya devam eder ama itibarı ağır yara alır.
En kötü senaryo:
Kurtarma sınırlı kalır, kullanıcı zararları büyük ölçüde içeride kalır, platform uzun bir yeniden yapılanma ya da fiili çöküş sürecine girer.
Şu an dışarıdan bakınca en olası tablo, maalesef, “hemen tam geri ödeme” değil; uzun pazarlıklar, teknik iz sürme, kısmi telafi ve yapılandırma karışımı bir süreç gibi görünüyor. Çünkü kamuya açık resmi iletişimde şu ana kadar net bir “herkesi tamamen kurtaracağız” planı doğrulanmış değil.
Asıl ders ne?
Drift olayı bize yine aynı sert dersi veriyor:
Kriptoda “merkeziyetsiz” olmak, kullanıcı açısından her zaman “güvende” olmak anlamına gelmiyor.
Bir protokol ne kadar popüler olursa olsun, hangi fonlardan yatırım almış olursa olsun, ne kadar parlak kuruculara sahip görünürse görünsün; eğer kritik erişim kontrolleri, operasyonel güvenlik ve kriz yönetimi zayıfsa, sonuç bir gecede yüz milyonlarca dolarlık felaket olabilir.
Ve belki de en önemli gerçek şu:
Kullanıcılar çoğu zaman bir protokolü ürün kalitesine, yatırımcı logosuna ve piyasa heyecanına bakarak değerlendiriyor. Oysa asıl bakılması gereken şey, görünmeyen katmanlar: anahtar yönetimi, iç kontrol, denetim kalitesi ve kriz anında şeffaflık.
Drift’in başına gelenler, yalnızca Drift’in hikâyesi değil. Bu, Solana DeFi’nin ve daha genel anlamda kripto finansın hâlâ ne kadar kırılgan olduğunun yeni bir hatırlatıcısı.
Bir yanıt yazın