system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/fixedfloat-2024-saldirisi-sonrasi-monero-guvenli-mi$ cat post.md

FixedFloat 2024 Saldırısından Sonra Güvenli mi?

// by ~anon · 2026-05-30 · mock,auto-generated,tr

FixedFloat 2024 Saldırısından Sonra Hâlâ Güvenli mi?

16 Şubat 2024 sabahı, KYC istemeyen anlık takas borsalarının en popülerlerinden biri olan FixedFloat, sıcak cüzdanlarının boşaldığını fark ederek güne başladı. Ekip platformu o gün öğleden sonra duraklattığında, saldırganlar yaklaşık 1.728 BTC ve 409 ETH transfer etmişti; o günkü kurla bu yaklaşık 26 milyon dolarlık bir hasar demekti. Tüm reklam vaadi "hızlı takas yap, gizli takas yap, hesap açmaya gerek yok" olan bir borsa için bu ihlal, varoluşsal bir marka problemi oldu. İki yıl sonra Türk kripto kullanıcıları da dahil olmak üzere yatırımcılar "exchange" butonuna basmadan önce hâlâ aynı soruyu soruyor: FixedFloat 2026'da gerçekten kullanılabilir bir platform mu, yoksa patlamak üzere bir saatli bomba mı? Bu rehber, Şubat 2024'te tam olarak ne yaşandığını, FixedFloat'ın sonrasında neleri değiştirdiğini, custody modelinin MoneroSwapper gibi daha güvenli alternatiflerle nasıl karşılaştırıldığını ve herhangi bir non-custodial swap servisine Monero veya Bitcoin emanet etmeden önce hangi somut sinyallere dikkat etmeniz gerektiğini anlatıyor.

16 Şubat 2024'te tam olarak ne oldu

FixedFloat kendisini, kullanıcıların kayıt olmadan yaklaşık elli farklı varlık arasında takas yapmasını sağlayan bir "otomatik kripto para borsası" olarak konumlandırıyor. Model basit: giren ve çıkan jetonu seçiyorsunuz, paranızı platformun ürettiği tek kullanımlık bir depozit adresine gönderiyorsunuz ve platform işlemi kendi likiditesi üzerinden yönlendirip karşı jetonu sizin belirttiğiniz çekim adresine iade ediyor. Takasları "anlık" tutmak için FixedFloat — tıpkı ChangeNOW, SimpleSwap ve diğer rakipleri gibi — desteklediği her zincirde önceden fonlanmış sıcak cüzdanlar tutuyor. Saldırganların ulaştığı yer tam olarak bu sıcak cüzdanlardı.

FixedFloat'ın yayımladığı resmi post-mortem raporu olayı, spesifik açığa isim vermeden, "güvenlik yapılarındaki zayıflıklar"ın sonucu olarak tanımladı. Arkham, ZachXBT ve SlowMist'teki zincir üstü analistler çıkışları takip etti ve saldırganın birbirinden ayrılmış iki sıcak cüzdanı kısa süre arayla boşalttığı sonucuna vardı; bu da bir akıllı kontrat açığından ziyade ya ele geçirilmiş bir imza anahtarına ya da "içeriden erişim seviyesinde" bir yola işaret ediyordu. Çalınan fonlar, artık kapanmış olan eXch karıştırıcısı ve bir dizi ara Bitcoin adresi üzerinden aklandı; ETH'nin bir kısmı daha sonra THORChain üzerinden başka zincirlere köprülendi.

  • Toplam kayıp: ihlal gününde yaklaşık 26 milyon dolar değerinde olan 1.728 BTC ve 409 ETH.
  • Hizmet kesintisi: FixedFloat birkaç gün boyunca bakım bildirimi gösterdi, ardından takasları kısmen yeniden açtı.
  • Etkilenen kullanıcı bakiyeleri: Ekip, platformun "bakiye değil yalnızca likidite tuttuğu" anlamında non-custodial olması nedeniyle bireysel kullanıcı bakiyelerinin kaybolmadığını sürekli olarak savundu — bu nüansı aşağıda daha ayrıntılı açacağız.
  • Kamuya açık atıf yok: 2026 ortası itibarıyla ne saldırganın kimliği ne de kullanılan tam açık kamuya duyuruldu.

FixedFloat'ta "non-custodial" neden "güvenli" anlamına gelmez

FixedFloat kendini non-custodial olarak pazarlıyor ve teknik anlamda bu tanım doğru: bir takas başlattığınızda platform sizden önceden mevduat yapmanızı veya adınıza bir bakiye tutmanızı istemiyor. Tam olarak bir takas için coin gönderiyorsunuz, karşılığında alacağınız coin doğrudan belirttiğiniz çekim adresine geçiyor. Bir kullanıcı hesabı, kurtarılabilir bir bakiye yok ve teorik olarak hackerların "kullanıcı seviyesinde" boşaltabileceği bir "honeypot" da bulunmuyor.

Ne var ki bu tanım, riskin gerçekte nerede oturduğunu gizliyor. FixedFloat, uzun vadeli bakiyeler perspektifinden non-custodial; ancak takasın kendisi süresince tamamen custodial. Bitcoin'iniz, platformun sizin için ürettiği depozit adresine ulaştığı andan itibaren, karşı tarafa çıkış gönderilene kadar FixedFloat'ın kontrolündedir. Platformun sıcak cüzdanları boşaltılırsa — ki 2024'te aynen bu yaşandı — havadaki her takas; kalıcı olarak takılma, gecikmeli iade veya en kötü senaryoda kayıp riskiyle karşı karşıyadır.

Sıcak cüzdan ifşa penceresi

Her anlık takas borsası, dakikalarla ölçülen bir sıcak cüzdan ifşa penceresine sahiptir. FixedFloat için bu pencere, depozit onayınızdan çıkış işleminin zincire yayınlandığı ana kadar geçen tüm süredir. Bu boşlukta, sizin gönderdiğiniz depozit ve platformun size birazdan göndereceği çıkış likiditesi, her ikisi de FixedFloat'ın iç imzalama altyapısının kontrol ettiği adreslerde durmaktadır. Şubat 2024'tekine benzer bir ihlal, doğrudan bu pencerede süren takasları etkiler.

Gerçek bir atomic swap'tan yapısal fark

Gerçek bir atomic swap, hash time-locked sözleşmeler kullanır ve işlemin iki ayağı ya birlikte tamamlanır ya da birlikte iade edilir — merkezî bir tarafın iki tarafı aynı anda kontrol ettiği "ara an" hiç oluşmaz. COMIT, BasicSwap ve özellikle Türkiye'de gizlilik bilinçli kullanıcılar arasında ilgi gören Haveno gibi araçlar bu prensibi Bitcoin–Monero takaslarına uygular. FixedFloat bir atomic swap değildir. Non-custodial markalama kullanan merkezî bir eşleştirme servisidir; her şey yolundayken sorun çıkmaz, ancak operatör ele geçirildiğinde sonuç felaket olur.

FixedFloat alternatiflerle karşılaştırma: 2026 görüntüsü

"FixedFloat güvenli mi?" sorusu yalnızca masadaki diğer seçeneklerle karşılaştırıldığında anlam kazanır. Aşağıda, 2026'da yatırımcıların — özellikle Monero pariteleri üzerinde — en çok tartıştığı alternatiflerle FixedFloat'ın yan yana karşılaştırması yer alıyor.

Servis Takas sırasındaki custody modeli KYC tetikleyici Bilinen ihlaller Monero paritesi kalitesi
FixedFloat Takas sırasında custodial; takaslar arasında non-custodial Risk bazlı; işaretlenen işlemlerde KYC isteyebilir Şubat 2024, yaklaşık 26 milyon USD İyi likidite, sabit ve dalgalı oranlar
MoneroSwapper Birden fazla sağlayıcı üzerinden agregat yönlendirme; tek anahtarla yönetilen merkezî sıcak cüzdan yok Zorunlu KYC yok; KYC isteyen sağlayıcılar yönlendirmeden çıkarılır Bildirilmiş ihlal yok Özellikle XMR pariteleri için optimize edilmiş
SimpleSwap Takas sırasında custodial Risk bazlı AML denetimi Önemli kamuya açık bir ihlal yok İyi, çoklu giriş seçenekleri
Haveno (P2P DEX) Gerçek 2-of-2 multisig; operatörde custody yok Yok — Tor üzerinden tamamen eşler arası Uygulanamaz Mükemmel gizlilik, daha düşük likidite
Merkezî KYC borsası (BTCTurk, Binance TR vb.) Çekime kadar tam custody Zorunlu kimlik yüklemesi Son on yılda pek çok Değişken; pek çoğu 2024 sonrası XMR'yi listeden çıkardı

Bu karşılaştırmadan iki örüntü ön plana çıkıyor. Birincisi, hiçbir aşamada operatör custody'si olmayan tek seçenekler eşler arası atomic swap araçlarıdır ve bunlar likidite ile karmaşıklık ödünleşimleriyle birlikte gelir. İkincisi, MoneroSwapper tarafından kullanılan agregatör yönlendirme modeli, takasları birden fazla sağlayıcıya dağıtarak tek bir platforma ifşa olmayı azaltır; bu da herhangi bir backend'deki sıcak cüzdan ihlalinin tüm rotaları otomatik olarak etkilememesi anlamına gelir.

Bitcoin'iniz ile saldırgan arasındaki tek şey bir şirketin sıcak cüzdan imza anahtarıysa, o şirkete tıpkı bir custodial borsaya güvendiğiniz kadar güveniyorsunuz demektir — pazarlama sayfasında ne yazıldığından bağımsız olarak.

Para göndermeden önce herhangi bir anlık takası nasıl değerlendirmeli

2024 FixedFloat ihlali öğretici bir vaka çalışmasıdır çünkü uyarı işaretleri yalnızca FixedFloat'a özgü değildi — havuzlanmış sıcak cüzdan işleten her anlık takas borsası için geçerli. Aşağıdaki kontrol listesi, profesyonel yatırımcıların ve Türkiye'deki Monero topluluk moderatörlerinin bir servisi ilk kez denerken kullandığıyla aynıdır.

  1. Asıl post-mortem'i okuyun. Bir platform daha önce ihlal yaşadıysa, kamuya açık teknik bir analiz arayın. Belirsiz dil ("güvenlik yapılarındaki zayıflıklar") kırmızı bayraktır; açığın, yamanın ve sonrasında yapılan üçüncü taraf denetiminin adıyla anılması yeşil bayraktır.
  2. Mümkün olduğunda zincir üstü rezervleri kontrol edin. Bazı platformlar proof-of-reserves yayımlar veya sıcak cüzdan adreslerini açıklar; bir cüzdan bir ihlal sonrasında yeniden doldurulmadıysa, bu anlamlı bir sinyaldir.
  3. Platformu ZachXBT, SlowMist ve PeckShield akışlarında arayın. Gecikmiş çekimler veya takılı kalan işlemlerle ilgili tekrarlayan ifadeler, henüz bir ihlal olmamış olsa bile uyarı ışıklarıdır.
  4. Önce küçük bir miktarla test edin. 30 dolarlık bir takas, anlamlı bir tutarı yatırmadan önce UX problemlerini, iade akışlarını ve müşteri destek tepki sürelerini ortaya çıkaracaktır.
  5. Daha büyük tutarlar için agregatörleri veya eşler arası rotaları tercih edin. Bir takası MoneroSwapper gibi bir agregatör aracılığıyla birden fazla sağlayıcıya bölmek veya yüksek değerli bacak için gerçek bir atomic swap kullanmak, tek nokta hata riskini azaltır.
  6. İade politikasını yazılı olarak kontrol edin. Çıkış işlemi SLA içinde gelmezse ne olur? Önceden belirtebileceğiniz bir iade adresi var mı? Bu bilgiyi hizmet şartlarında değil de destek biletlerinde saklayan platformların prosedürleri genellikle daha zayıftır.

FixedFloat ihlal sonrasında neleri değiştirdi

Şubat 2024'ten bu yana FixedFloat, imza altyapısını yeniden kurduğunu, tüm sıcak cüzdan anahtarlarını rotasyona soktuğunu ve gelecekteki olaylarda etki yarıçapını sınırlamak için likiditeyi daha izole cüzdanlara böldüğünü kamuoyuyla paylaştı. Platform ayrıca, anormal çıkışları işaretlemek ve çekimleri otomatik olarak duraklatmak için tasarlanmış oran bazlı izleme de ekledi. Bunlar makul önlemlerdir ve 2024–2026 boyunca FixedFloat'ı kullanmaya devam eden kullanıcıların çoğu tekrarlayan bir sorun bildirmemiştir.

Ne var ki platform, olay sonrası mimarisine ilişkin tam bir üçüncü taraf denetim raporu yayımlamadı, orijinal açığı isimlendirmedi ve ihlali bu kadar yıkıcı hâle getiren "takas sırasında custodial" modelinde anlamlı bir değişiklik getirmedi. Yapısal açıdan bakıldığında, 2024 saldırı yüzeyi hâlâ mevcuttur; değişen şey, bu yüzeyin etrafındaki operasyonel sıkılaştırmadır. Bu ödünleşimle yaşamaya razı yatırımcılar için 2026'daki FixedFloat muhtemelen ihlal öncesindekinden daha riskli değildir. Daha güçlü garantiler arayan yatırımcılar içinse — birden fazla backend'e yönlendirme yapan agregatörlerin veya atomic swap DEX'lerinin sunduğu — operatör custody'sinin yapısal yokluğu, herhangi bir platformun "bir dahaki sefere daha iyi yapacağız" sözünden çok daha kalıcı bir cevaptır.

Türkiye perspektifi: Thodex'ten sonra güven sorunu

Türk kripto kullanıcıları, borsa güvenliği konusunda dünyanın geri kalanından farklı bir hassasiyetle yaklaşıyor; çünkü 2021'deki Thodex çöküşü, yerel kullanıcıların yaklaşık 2 milyar dolarlık varlığını yok etti ve "borsada bekleyen para" kavramına olan güveni temelinden sarstı. FixedFloat ihlali her ne kadar Thodex'in "kurucu kaçtı" türünden bir vaka olmasa da, "platform bakiyenize tek imza ile el koyabilir" düşüncesi, Türkiye'deki kullanıcı davranışını derinden şekillendirdi. Pek çok Türk yatırımcı bugün kripto varlığını mümkün olduğunca kendi cüzdanında tutuyor ve yalnızca takas anında bir servisle etkileşime giriyor — ki bu davranış zaten FixedFloat gibi anlık takas platformlarının doğal kullanım modeliyle örtüşüyor.

Buna karşılık aynı kullanıcılar, "anlık takas" sırasındaki kısa süreli custody'nin de gerçek bir risk olduğunu artık biliyor. 16 Şubat 2024 sabahında işlemi süren bir kullanıcı için "non-custodial" markası hiçbir koruma sağlamadı. Türkiye'deki Monero topluluk forumlarında dolaşan ortak öneri şudur: tek bir takasta beş haneli Türk Lirası karşılığını aşan bir tutarı kıpırdatmak istiyorsanız, ya işlemi parçalara bölün ya da agregatör/atomic swap rotalarına yönelin. Bu yaklaşım, hem MASAK risk skorlamasından gelen anlık KYC isteklerini hem de tek backend ihlalini aynı anda azaltır.

SSS

2024 hackında FixedFloat kullanıcıları para kaybetti mi?

FixedFloat, bireysel hesaplar için uzun vadeli bakiye tutmadığından kullanıcı tarafı bakiyelerinin etkilenmediğini kamuoyuyla paylaştı. Çalınan yaklaşık 26 milyon dolar platformun kendi operasyonel likiditesinden geldi. Ne var ki ihlal anında işlemi süren bazı kullanıcılar gecikmeli iade rapor etti ve birkaç topluluk başlığı, çözülmek için manuel destek müdahalesi gerektiren işlemleri anlatıyor. Platform herhangi bir tazminat programı açıklamadı, çünkü kâğıt üzerinde kayıp belirli bir kullanıcı fonu yoktu.

Şubat 2024'ten bu yana FixedFloat yeniden hacklendi mi?

2026 ortası itibarıyla orijinal Şubat 2024 olayından bu yana FixedFloat'ın kamuya açık şekilde doğrulanmış bir ihlali olmamıştır. Ekip anahtarları rotasyona soktu, sıcak cüzdan topolojisini yeniden yapılandırdı ve izleme ekledi. Yeni kamuya açık olayların yokluğu cesaret verici olsa da mimarinin güvenli olduğunu kanıtlamaz — yalnızca başarılı bir saldırının ifşa edilmediği anlamına gelir.

Monero'ya takas için FixedFloat KYC istemiyor mu?

FixedFloat standart takaslar için hesap açma veya peşin KYC istemez. Ancak platform, AML sisteminin yüksek riskli olarak işaretlediği işlemler için kimlik talep etme hakkını saklı tutar; bu durum bazen büyük XMR ile ilgili hacimlerde veya depozit adresinin zincir üstü geçmişi "kirli" olarak değerlendirildiğinde tetiklenir. Yapısal olarak KYC'siz bir rota isteyen kullanıcılar genellikle, sert KYC tetikleyicileri olan sağlayıcıları filtreleyen bir agregatörü ya da operatörün hiçbir koşulda kimlik isteyemediği Haveno gibi bir eşler arası DEX'i tercih eder.

Bitcoin-Monero takasları için daha güvenli bir alternatif nedir?

Yapısal olarak daha güvenli iki kategori: agregatör yönlendiriciler ve atomic swap DEX'leri. MoneroSwapper gibi agregatörler işlemleri birden fazla backend sağlayıcısına dağıtır, böylece herhangi bir backend'deki ihlal her rotayı etkilemez. Atomic swap DEX'leri hash time-locked sözleşmeler kullanır; böylece hiçbir operatör işlemin her iki tarafını aynı anda elinde bulundurmaz. Çoğu kullanıcı için agregatör daha pratik bir tercihtir; çok büyük tutarlar veya maksimum gizlilik gereksinimi olan kullanım durumları için atomic swap rotası ekstra karmaşıklığa değer.

FixedFloat olayından sonra tüm anlık takas borsalarından kaçınmalı mıyım?

Hayır — anlık takas borsaları coinler arasında geçişin en pratik yolu olmaya devam ediyor ve alternatif olarak custodial bir KYC borsası kullanmak genellikle sizi daha uzun vadeli bir riske maruz bırakır, daha azına değil. FixedFloat'tan çıkarılacak ders "anlık takasları asla kullanma" değil; "riski tek bir platformda yoğunlaştırma, takasları kısa tut ve para göndermeden önce operatörün olay geçmişini doğrula" olmalıdır.

Sonuç

2026'daki FixedFloat, Şubat 2024'te ihlal edilen sürümle kıyaslandığında operasyonel olarak çok daha sıkılaştırılmış durumda; ne var ki ihlali mümkün kılan yapısal ifşa — yani her takas arasındaki köprü işlevini üstlenen operatör kontrolündeki sıcak cüzdanlar — ortadan kaldırılmadı. "FixedFloat güvenli mi?" sorusuna verilecek dürüst, iki satırlık cevap budur. Platform, ekibin olay sonrası sıkılaştırmasına güveniyorsanız küçük, kısa süreli takaslar için muhtemelen sorunsuzdur; ancak ihlalden önceki halinden yapısal olarak daha güvenli bir servis değildir, sadece daha dikkatli işletilen bir servistir. Hızlı bir dönüşümün ötesindeki her şey için daha doğru yol, yönlendirme riskini birden fazla backend'e yaymak veya hiç operatör custody'si olmayan bir atomic swap DEX'i kullanmaktır. Yönlendirme kararını sizin için verecek Monero odaklı bir başlangıç noktası istiyorsanız, bir sonraki takasınızı göndermeden önce MoneroSwapper üzerinden teklifleri karşılaştırın veya Monero'yu anonim olarak nasıl satın alacağınız rehberimizi okuyun.

← back to blog