FixedFloat Hack 2024: Saldırının Tam Anatomisi

16 Şubat 2024 sabahı, FixedFloat'ın durum sayfasını izleyen trader'lar önce kısa ve neredeyse sıradan görünen bir "teknik bakım" duyurusuyla karşılaştı. Saatler geçmeden zincir üstü dedektifler çıkış işlemlerini saymaya başlamıştı bile: yaklaşık 409 BTC ve 1.728 ETH, borsanın sıcak cüzdanlarından (hot wallet) daha önce hiçbir geçmişi olmayan adreslere taşınmıştı. Toz çöktüğünde toplam kayıp 26 milyon dolar civarındaydı ve bu olay, 2024 yılının ilk yarısının en büyük no-KYC swap saldırısı ve yılın en çok incelenen ihlallerinden biri haline geldi. Hasar yalnızca finansal değildi; tüm anlık takas (instant exchange) kategorisini hot wallet maruziyeti, üçüncü taraf imzalayıcı güveni ve olay anında iletişim biçimi konularında yeniden düşünmeye zorladı.

Bu yazı, olayın zaman çizelgesini, zincir üstü adli analizleri, hâlâ cevapsız kalan soruları ve no-KYC swap servislerini kullanan herkesi etkileyen pratik sonuçları yeniden kurguluyor. Eğer gizlilik gerektiren işlemlerinizi agregatörler veya doğrudan MoneroSwapper gibi servisler üzerinden yönlendiriyorsanız, FixedFloat'ın Şubat 2024 olayından çıkan dersler 2026 itibarıyla hâlâ taşıyıcı niteliktedir: saldırı yüzeyi yok olmadı, sadece çeşitlendi.

FixedFloat'ın karardığı gün

FixedFloat dört yıl boyunca güvenilir bir anlık takas servisi olarak bir itibar inşa etmişti — hesap yok, e-posta yok, KYC yok; sadece kotasyon ve bir adres. 2024 başında Monero, Bitcoin, Litecoin ve uzun bir EVM varlık listesi dahil 60'tan fazla coin üzerinde günde binlerce takas işliyordu. Bu hacim, platformu çekici bir hedef haline getirdi ve 16 Şubat'ta biri o ödülü topladı.

İlk kamuoyu yanıtı beceriksizceydi. FixedFloat'ın ilk mesajı kesintiyi "küçük teknik aksaklıklara" bağladı ve kullanıcılardan beklemelerini istedi. Altı saat içinde blockchain analistleri cüzdan adreslerini, işlem hash'lerini ve kayıpların kabaca toplamını çoktan yayınlamıştı. Borsa ancak ondan sonra, zinciri izleyen herkes için zaten aşikâr olanı doğruladı.

• Bitcoin kaybı: yaklaşık 409 BTC, FixedFloat'ın sıcak cüzdanından saldırgan kontrolündeki adreslere bir dizi UTXO konsolidasyonuyla boşaltıldı.
• Ethereum kaybı: yaklaşık 1.728 ETH, temiz partiler halinde süpürüldü ve hemen ardından bilinen coin karıştırma altyapısına yönlendirildi.
• Toplam değer: olay günündeki spot fiyatlarla yaklaşık 26 milyon dolar.
• Tespit gecikmesi: ilk şüpheli çıkış işlemi ile FixedFloat'ın ilk kamuya açık kabulü arasında neredeyse üç saat geçti.
• Kullanıcı etkisi: devam eden takaslar duraklatıldı, iadeler haftalarca gecikti ve birkaç büyük müşteri, borsa tarafından onaylanmış ancak hiç teslim edilmemiş işlemlerde kısmi kayıp bildirdi.

Profesyonel olay müdahale ekiplerinin en rahatsız edici bulduğu kısım işte bu tespit gecikmesidir. Bilinmeyen adreslere kan kaybeden sıcak cüzdanlar, saatlerce değil saniyeler içinde otomatik alarm tetiklemelidir. Saldırganın UTXO'ları konsolide etmek ve Ethereum'u karıştırıcılara köprülemek için herhangi bir kamuoyu açıklamasından önce zaman bulabilmiş olması, dahili izlemenin ya başarısız olduğunu, ya atlatıldığını ya da saldırı penceresi boyunca aktif olarak bastırıldığını gösteriyor.

Saldırı gerçekte nasıl gerçekleşti

FixedFloat hiçbir zaman resmi bir post-mortem yayınlamadı; bu da hikâyenin bir parçası. Kamuoyunda bilinenlerin çoğu, SlowMist, MistTrack ve PeckShield gibi firmaların bağımsız zincir üstü analizlerinden ve para akışını neredeyse gerçek zamanlı olarak yeniden kuran topluluk thread'lerinden geliyor. Üç parça bir araya gelerek en yaygın kabul gören tabloyu oluşturuyor.

Sıcak cüzdan maruziyet modeli

Anlık takas servisleri sıcak cüzdan likiditesi üzerinden hayatta kalır. İşlemler arasında büyük rezervleri soğuk depoya taşıyabilen emir defteri tabanlı borsaların aksine, hesapsız bir takas servisi yatırım onaylanır onaylanmaz işlemi gerçekleştirmek zorundadır. Bu da çalışan bir bakiyenin çevrimiçi durmak, adrese göre indekslenmek ve talep üzerine giden işlemleri imzalamaya hazır olmak zorunda olduğu anlamına gelir. FixedFloat'ın BTC ve ETH üzerindeki sıcak cüzdanları, hafta sonu pik hacmini karşılayacak şekilde boyutlandırılmıştı; bu da onlarca milyon dolarlık likit fonun, platformun kullandığı imzalama altyapısının ulaşma mesafesinde olduğu anlamına geliyordu.

İmzalayıcı (signer) ele geçirilmesi

FixedFloat boşaltmasının zincir üstü deseni — büyük, temiz süpürmeler; parçalı davranış yok, başarısız deneme yok, yoklayıcı işlem yok — zaten geçerli imzalama yetkisine sahip bir saldırgan tablosuyla tutarlıdır. Akıllı sözleşme istismarı, köprü açığı veya oracle manipülasyonu yoktu. Anahtarların kendisi ya da onları kullanan sistemler vektördü. Bunun sızdırılmış bir özel anahtar mı, ele geçirilmiş bir HSM oturumu mu, kötü niyetli bir insider mı, yoksa bir imzalama bağımlılığının tedarik zinciri ihlali mi olduğu fark etmeksizin pratik sonuç aynıydı: saldırgan, FixedFloat'ın zaten imzalayacağı işlemleri imzaladı.

Aklama rotası

İhlalden sonraki 24 saat içinde çalınan ETH'in büyük kısmı eXch — başka bir no-KYC takas servisi — üzerinden yönlendirildi ve gizlilik dostu varlıklara çevrildi. BTC'nin bir kısmı, düzinelerce yeni adrese parçalanmadan önce karıştırma altyapısı üzerinden daha uzun bir yol izledi. Çalınan paranın aklanması için başka bir no-KYC borsanın kullanılması sektörde bir kırılma noktası oldu ve eXch daha sonra sürekli düzenleyici baskıyla karşılaştı; bu da 2025'teki kapanışına katkı sağladı. Bu nedenle FixedFloat hack'i sadece tek bir borsanın kötü bir gününün hikâyesi değil — tüm no-KYC ekosisteminde zincirleme bir reaksiyon başlattı.

FixedFloat hakkında öğretici olan şey sıcak cüzdanların boşaltılabilmesi değil, şirket içinden birisinin bunu fark etmesinin ne kadar uzun sürdüğüdür. Bir insanın gözüne dashboard'a bakmasına bağlı olan izleme, izleme değildir.

Büyük no-KYC olaylarının karşılaştırılması

FixedFloat, büyük bir ihlal yaşamış tek no-KYC servisi değil. Aynı dönemdeki diğer olaylarla yan yana koymak, kategorinin yapısal risklerini daha görünür kılıyor. Desen tutarlı: sıcak cüzdan maruziyeti, yavaş kamuoyu iletişimi ve gizliliği koruyan altyapılara doğru akan aklama.

Olay	Tahmini kayıp	Saldırı vektörü	Kamuoyu post-mortem'i
FixedFloat (Şub 2024)	~26M$	Sıcak cüzdan imzalayıcı ihlali	Yayınlanmadı
FixedFloat (Mar 2024 devamı)	~3M$	Aynı altyapı, kısmi yeniden kullanım	Yayınlanmadı
eXch aklama maruziyeti	Dolaylı	İçeri giren çalıntı fonlar	Yalnızca operasyonel duyuru
Köprü istismarları 2022-2024 ort.	Olay başına 100M$+	Akıllı sözleşme açığı	Genellikle yayınlanır
Soğuk depo CEX ihlalleri	Nadir	Multi-sig ihlali	Bazen yayınlanır

No-KYC kategorisini ayıran şey, sonrasındaki sessizliktir. Müşteri parası kaybeden düzenlenmiş bir borsa, derhal bilgilendirme yükümlülüğüyle karşı karşıya kalır ve kalan güveni korumak için genellikle bir post-mortem yayımlar. No-KYC bir borsanın böyle bir yükümlülüğü yoktur ve detayları sessiz tutmak için sıklıkla ticari nedenleri vardır: herhangi bir teknik açıklama gelecekteki saldırganlara yardımcı olabilir, herhangi bir operasyonel açıklama düzenleyicileri çekebilir. Sonuç, kullanıcıların güvenlik konusunda dışarıdan akıl yürütmek zorunda kaldığı, zincir üstü kırıntıların tek güvenilir doğruluk kaynağı olduğu bir kategoridir.

Türkiye perspektifi: Thodex'ten FixedFloat'a

Türk kripto kullanıcılarının çoğu, borsa riski denildiğinde önce FixedFloat'ı değil Thodex'i hatırlar. Nisan 2021'de Faruk Fatih Özer'in tahminen 2 milyar dolar civarındaki kullanıcı fonuyla yurt dışına kaçışı, ülkedeki kripto algısını yıllarca şekillendirdi. SPK'nın kripto varlık hizmet sağlayıcılarına ilişkin lisans çerçevesinin 2024'te yasalaşmasının arkasındaki siyasi enerji, doğrudan o olaydan besleniyor. MASAK'ın aynı dönemde merkezi borsalardan çok daha sıkı AML beyanı talep etmesinin sebebi de aynı.

Ancak Thodex hikâyesi FixedFloat'tan yapısal olarak farklıdır. Thodex bir kaçış (exit scam) vakasıydı: kullanıcılar TL yatırdı, bakiye gördü, çekemedi, sonra şirket sahibi ortadan kayboldu. FixedFloat ise gerçek anlamda dışarıdan (veya muhtemelen iç-dışarı karma) bir saldırıya uğradı, sonra kayıpları kendi rezervlerinden karşıladı. Bu fark, Türk okuyucu için kritiktir çünkü iki risk de no-KYC kategorisinde mevcut: hem operatörün kötü niyetli davranması, hem operatörün dürüst ama güvenliğinin yetersiz olması. Her ikisinin de sonucu kullanıcı için aynı görünür — para gitti — ama doğru çözüm tamamen farklıdır.

Türk kullanıcılar için bir diğer önemli nokta: 2021'deki TCMB düzenlemesi kripto varlıkların ödeme aracı olarak kullanılmasını yasakladı, ancak takas ve yatırım engellenmedi. Bu da pratikte, BTC veya stablecoin'den Monero'ya geçmek isteyen bir kullanıcının ya yerli merkezi borsalardan birini ya da FixedFloat türü no-KYC bir servisi kullanmak zorunda kaldığı anlamına gelir. Yerli borsanın KYC zorunluluğu gizlilik isteyen kullanıcıyı no-KYC tarafına iter ve o tarafın güvenlik tarihçesi de tam olarak bu yazıda anlatılan tablodur.

No-KYC swap kullanırken kendinizi nasıl korursunuz

FixedFloat olayı, no-KYC takas servislerinden kaçınılması gerektiği anlamına gelmez — özellikle finansal gizliliğe düşman yargı bölgelerindeki birçok kullanıcı için bunlar tek gerçekçi seçenek olarak kalmaya devam ediyor. Anlamı şudur: tehdit modeli emanetçi (custodial) bir borsadan farklıdır ve davranışınız bu farkı yansıtmalıdır. Aşağıdaki adımlar Şubat 2024 sonrasında deneyimli trader'ların benimsediği yaklaşımı yansıtıyor.

1. Takas penceresini transit olarak görün, depo olarak değil. No-KYC bir borsaya gönderdiğiniz fonlar üzerinden geçmeli, oturmamalı. Hedef adresinizi — ideal olarak anahtarlarını kontrol ettiğiniz bir cüzdan, örneğin Polyseed mnemonic'inden üretilmiş bir Monero cüzdanı — takas oluşturmadan önce hazırlayın. Yolun ortasında duraklamayın.
2. Her takasın büyüklüğünü dikkatle ayarlayın. FixedFloat'ın sıcak cüzdanları pik hacme göre boyutlandırıldıkları için boşaltıldı. Kullanıcı tarafından ders simetriktir: borsanın kötü bir öğleden sonrası geçirmesi durumunda kaybetmeye razı olduğunuzdan büyük bir işlemi asla yönlendirmeyin. Farklı servislerle birkaç küçük takas, tek bir büyük takasın önüne geçer.
3. Borsanın çekim adresini göndermeden önce zincir üzerinde doğrulayın. İtibarlı platformlar her sipariş için taze bir yatırım adresi gösterir. Adresi bir blok gezgininde önceki geçmiş için kontrol edin. Yeni bir sipariş için geçmişi olmayan bir cüzdan iyi bir işarettir; binlerce gelen işlemi olan bir cüzdan güvenlik hijyeni açısından kırmızı bayraktır.
4. Kuru karşılaştırın. Verilen kotasyon rakipler — MoneroSwapper dahil — karşısında dramatik biçimde daha iyiyse, bu kapışılacak bir fırsat değil, araştırılmaya değer bir sinyaldir. Fiyat anomalileri çoğunlukla stresli likiditeyle ya da uç durumlarda ihlal altında çalışan platformlarla korelasyon gösterir.
5. Tamamlanmayı kontrol ettiğiniz bir Monero cüzdanına onaylayın. Takas hedefinize ulaştığında işlemi kendi cüzdanınızda doğrulayın — RingCT çıkışları görünür, stealth adres bakiye üretiyor, view key beklenen miktarla eşleşiyor. Bunu kendi yazılımınızda yapana kadar takas bitmiş değildir.
6. Fonları hızla uzun vadeli depoya taşıyın. Uzun vadeli planınız Monero tutmaksa, alınan çıktıları mümkün olan en kısa sürede tohumu çevrimdışı olan bir cüzdana süpürün. Gizliliği koruyan varlıklar bilinen bir karşı taraf adresinde ne kadar uzun durursa, o kadar fazla meta veri biriktirirler.

Bu hikâye Monero swap kullanıcıları için neden önemli

No-KYC borsaların müşteri tabanında Monero kullanıcıları açıkça aşırı temsil edilir, bunun bariz nedenleri var: fiat'tan veya diğer kripto paralardan Monero'ya giriş noktaları 2021 ile 2026 arasında belirgin biçimde daraldı ve anlık takas servisleri birincil rota haline geldi. Bu da o servislerin güvenliğini Monero'yu amaçlandığı biçimde kullanmaya çalışan herkes için doğrudan bir endişeye dönüştürüyor. FixedFloat gibi bir borsa ihlal edildiğinde, başarısızlık yalnızca saldırının kendisinde mevduatı çalınan kişileri değil — takası yolda olan herkesi, iadesi haftalar süren herkesi ve aşağı akış cüzdanı şimdi işaretli bir adrese temas etmiş çıktılar içeren herkesi etkiler.

Monero'nun gizlilik garantileri — halka imzaları (ring signatures), stealth adresler ve Bulletproofs+ — Monero zincirindeki işlemleri korur. Bir kullanıcının Monero olmayan coinleri bir takas servisine teslim ettiği anı korumazlar ve bir karşı taraf başarısızlığını geri sarmazlar. FixedFloat gibi olayların faaliyet gösterdiği boşluk işte budur. Bir kullanıcı kusursuz bir Monero opsec kurulumuna sahip olabilir ve yine de BTC'sini otuz dakika tutan köprü servisi başka bir saat diliminde bir saldırgan tarafından boşaltıldığı için fonlarını kaybedebilir.

Pratik yanıt, takas servislerini dikkatle seçmektir. Operasyonel sicile, olay müdahale geçmişine ve servisin güvenlik modelini ne ölçüde tartışmaya istekli olduğuna dikkat edin. Soğuk/sıcak cüzdan ayrımını yayınlayan, imzalama altyapısını döndüren ve kesintiler sırasında net ve kamuya açık iletişim kuran servisler, her olayı bir gizem olarak ele alan servislerden gösterilebilir biçimde daha iyi risk profiline sahiptir. Örneğin MoneroSwapper, takas kullanıcılarının gizlilik ile operasyonel görünürlük arasında seçim yapmaya zorlanmaması ilkesi üzerine tasarlandı — yönlendirme özeldir, ancak platformun bir olay sırasındaki davranışı sessiz değil yüksek sesli ve net olmayı amaçlar.

Endüstri ne öğrendi (ve neyi öğrenmedi)

İhlalden iki yıl sonra no-KYC takas ekosistemi ölçülebilir biçimde farklı görünüyor. Birkaç platform şimdi üç ayda bir rezerv kanıtı (proof-of-reserves) anlık görüntüleri yayınlıyor, birden fazlası coğrafi olarak dağıtılmış imzalayıcılarla çok taraflı imzalamaya geçti ve daha fazla olay en azından kısa bir kamuoyu açıklamasıyla takip ediliyor. Daha önce hiç olmadığı yerde anlık takas servisleri için sigorta ürünleri var, ancak kapsam ince.

Değişmeyen şey, sıcak cüzdanlar üzerindeki yapısal baskıdır. Anlık takaslar bir ürün kategorisi olarak var olduğu sürece, birinin likit fonları çevrimiçi tutması ve birinin talep üzerine işlemleri yetkilendirmesi gerekiyor. Saldırının cephesi zincir üstü açıklardan (2021–2022 döneminde baskındı) imzalama altyapısının zincir dışı ihlaline kaydı; bu da teknik katmanda savunması çok daha zor olan bir alandır çünkü zayıflık genellikle organizasyoneldir. Operatör phishing'i, bağımlılıklara yapılan tedarik zinciri saldırıları ve içeriden tehditler 2026'da hâlâ aktif vektörlerdir.

Gerçek anlamda olumlu bir gelişme: aklama darboğazları daraldı. FixedFloat olayı çalınan fonların diğer no-KYC servisler üzerinden ne kadar kolay döndürülebileceğini ortaya koyduktan sonra hayatta kalan platformlar ortak engelleme listeleri, bilinen saldırgan kümeleri için yatırım taraması ve şüpheli desenlerde daha yavaş ödemeler benimsedi. Bu, takip eden aklamayı zorlaştırdı, ancak orijinal saldırı yüzeyi ortadan kalkmadı.

SSS

FixedFloat Şubat 2024 hack'inde ne kadar kaybetti?

FixedFloat yaklaşık 409 BTC ve 1.728 ETH kaybetti; saldırı anındaki değer kabaca 26 milyon dolardı. Fonlar bir öğleden sonra boyunca temiz işlemler dizisiyle platformun sıcak cüzdanlarından boşaltıldı. Mart 2024'teki daha küçük bir takip olayı, borsa imzalama altyapısını döndürmeden önce yaklaşık 3 milyon dolar daha kayıp ekledi.

FixedFloat etkilenen kullanıcılara iade yaptı mı?

FixedFloat sonunda devam eden veya tamamlanmamış siparişleri olan kullanıcıların çoğu için iadeleri işledi; ancak süreç birçok müşteri için haftalar aldı. Borsa kayıpları etkilenen kullanıcılara yansıtmak yerine kendi rezervlerinden karşıladı — bu anlamlı bir ayrımdır, çünkü pek çok hacklenmiş borsa kayıpları tüm kullanıcı tabanına sosyalleştirir. Bazı kullanıcılar kısmi kurtarma ya da çözülmemiş durumlar bildirdi.

FixedFloat saldırganı tespit edildi mi?

Kamuya açık olarak hayır. Zincir üstü analiz fonları birkaç karıştırıcı ve eXch platformu üzerinden izledi, ancak hiçbir birey ya da grup ihlalle resmi olarak ilişkilendirilmedi. Bazı analistler aklamanın incelmişliğine dayanarak devlet aktörü katılımı spekülasyonu yaptı; diğerleri temiz imzalama davranışına dayanarak içeriden ya da tedarik zinciri ihlaline işaret etti. FixedFloat dahili bulgularını yayınlamadı.

2026'da FixedFloat'ı kullanmak güvenli mi?

FixedFloat olaydan bu yana faaliyetini sürdürdü ve haberlere göre imzalama altyapısını yükseltti. Herhangi bir no-KYC takası kullanma kararı, operasyonel geçmiş, şeffaflık ve işlem büyüklüğü hesaba katılarak yapılan kişisel bir risk değerlendirmesidir. Pek çok kullanıcı, maruziyeti tek bir operatöre yığmamak için kasıtlı olarak birden fazla platform arasında dağılım yapar; bu, hangi borsa söz konusu olursa olsun mantıklı bir pratiktir.

Bugün Monero'ya takas yapmanın en güvenli yolu nedir?

En güvenli iş akışı, temiz operasyonel sicile sahip bir takas servisi kullanmak, işlem başına en küçük pratik miktarı göndermek, alımı kendi ürettiğiniz mnemonic tohumlu bir Monero cüzdanına onaylamak ve fonları kısa süre içinde uzun vadeli depoya süpürmektir. MoneroSwapper tam olarak bu iş akışı etrafında tasarlandı — minimum veri toplama, net durum raporlama ve kontrol ettiğiniz bir stealth adrese doğrudan teslim. Dikkatli bir takas servisini disiplinli cüzdan hijyeniyle birleştirmek en güçlü pratik sonucu verir.

Bu, geleneksel borsa hack'leriyle nasıl karşılaştırılır?

Geleneksel düzenlenmiş borsa hack'leri genellikle mutlak olarak daha büyük kayıplar içerir; ancak sigorta, düzenleyici baskı ve kamuya açık post-mortem'ler yoluyla daha fazla kurtarma seçeneği sunar. FixedFloat gibi no-KYC takas hack'leri dolar bazında daha küçüktür ancak kullanıcı başına daha risklidir çünkü borsanın iyi niyetinin ötesinde başvuru hakkı yoktur. Yapısal fark şudur: no-KYC rotasını seçtiğinizde yasal başvuru hakkını gizlilikle takas etmiş olursunuz ve bu takasın, tek bir platformdan ne kadar geçirdiğinizin fiyatlandırmasına yansıması gerekir.

Sonuç

FixedFloat hack'i no-KYC takas kategorisi için aydınlatıcı bir olaydı. Yeni bir saldırı sınıfı icat etmedi ve bilinçli kullanıcıların zaten düşünmediği bir riski tanıtmadı. Yaptığı şey gizli bir varsayımı açığa çıkarmaya zorlamaktı: bir anlık takasın operasyonel disiplini, güvenlik garantisinin parçasıdır ve kullanıcılardan otuz dakika güven isteyen herhangi bir platformun otuz dakikalık güvene değecek olması gerekir. Bazı platformlar bu baskıya daha iyi pratikler, kamuya açık iletişim ve gösterilebilir iyileştirmelerle karşılık verdi. Diğerleri sessiz kaldı ve kullanıcıların unutmasını umdu. Piyasa hâlâ hangisinin hangisi olduğunu ayıklıyor.

2026'da Monero kullanan herkes için çıkarım pratik. Anın gerektirdiği ciddiyetle zamanınıza ve fonlarınıza saygı duyan takas servislerini seçin, işlemlerinizi gerçekten karşılaştığınız tehdit modeline göre boyutlandırın ve rotanın her bacağını kontrol ettiğiniz yazılımda doğrulayın. Tam olarak bu ilkeler etrafında inşa edilmiş bir servisle hemen bir takas başlatmak istiyorsanız, Monero'yu anonim olarak satın alın sayfasından başlayabilir ya da MoneroSwapper'ın kotasyon motoru üzerinden güncel kurları karşılaştırabilirsiniz. 2024 olayı dikiz aynasında, ancak geride bıraktığı dersler bugün yaptığınız her takası şekillendiriyor.