BtcTurk bugün yaptığı duyuru ile 55 milyon dolarlık kayba yol açan bir siber saldırıyla karşı karşıya kaldığını açıkladı.
Neyse ki kripto varlıkların büyük kısmı soğuk cüzdanlarda yer aldığı için saldırının boyutları sınırlı kaldı. Sınırlı dediğimiz miktar da aslında bugünkü kurla 1,8 milyar lira gibi bir meblağa tekabül ediyor!
Bu siber saldırı ve beraberinde gelen kayıp kripto varlık dünyası için ne ilk vaka ne de son olacak. En başında bunu bilmek gerekiyor. Ancak yine de bu kadar büyük bir zaafiyetin ortaya çıkmasından almamız gereken dersler var.
BtcTurk gibi merkezi kripto para alım satım platformları ne yazık ki blokzincirin şeffaflık ve açıklık ruhundan uzak bir yapıyla geleneksel finans kuruluşları gibi hareket ediyor. Yani merkeziyetsiz platformlardaki gibi hazineyi göremiyoruz. Yani bu platform ne kadar güçlü, ne kadar varlığı yönetiyor, krizlere ne kadar dayanıklı gibi soruların yanıtını kendimiz alamıyoruz.
Elimizdeki tek şey, BtcTurk’ün açıklamasında belirttiği haliyle finansal güçlerinin bu saldırıdan etkilenen tutarın çok üstünde olduğu bilgisi…
Çok üstünde… Ne kadar göreceli değil mi?
Peki bu güveni kullanıcılarına vermenin başka yolu yok mu? Daha objektif temellere dayalı yollar mesela?
Var elbette!
Ama önce gelin BtcTurk bize ne sunuyor ona bakalım. İnternet sitesini incelediğimizde BtcTurk’ün güven unsuru olarak bize sunduğu tek rapor bir muhasebe, denetim ve danışmanlık şirketi olan KPMG tarafından hazırlanan bir takım raporlar.
Ne yazıyor bu raporlarda? Satırına dokunmadan paylaşıyorum;
“KPMG, BtcTurk’teki en yüksek işlem hacmine sahip kripto varlıklarla ilgili soğuk cüzdan doğrulama çalışmasına ilişkin üzerinde mutabık kalınan prosedürleri tamamladı.”
Elinize sağlık ne diyelim. Ne yaptınız yani siz tam olarak? Neye baktınız, ne sonuca ulaştınız? Bu bir denetim mi?
Bu bir denetim değil kıymetli okuyucular! Zaten KPMG de aman bir şey olur iş bana kalır korkusuyla yukarıdaki gibi hiç bir anlama gelmeyen bir cümleyle durumu geçiştiriyor. Mutabık kalınan prosedürleri tamamladık… Yani ne yaptınız? Varlıklar gerçekten o soğuk cüzdanda mıymış, ne kadarmış, operasyonel riskler açısından yeterli seviyede miymiş???
Dünya genelinde KPMG’nin söyleyemediği bu işe “Proof of Reserve” deniliyor. Yani gerçekten o platformun söz konusu rezervlere sahip olduğunun bağımsız bir kuruluşça denetlenerek ispatlanması. Kimi platformlar bu ispat sürecini de blokzinciriyle gerçekleştirerek tamamen şeffaflık sağlıyor.
Dünya çapında BtcTurk’ün muadilleri bu işi düzenli olarak yapıyor. Sıralı liste vermeme gerek yok ChatGPT’ye sorun size sıralasın. Peki BtcTurk neden gerçek anlamda yapmıyor?
Dahası var. Kripto para alım satım platformları için sadece rezervlerin denetimi yetmez. Teknik denetim de gerekir. Yani sistemde olası açıkları bulup, kötü niyetli siber suçlular istismar etmeden düzeltebilmek için şirket dışından alanın uzmanlarının yaptığı denetimlerden bahsediyorum. Onu da muhasebe finans şirketleri yapmazlar. Bu denetimleri yaptıran platformlar şeffaf biçimde denetim raporlarını da yayımlarlar.
Bakın bizde şu açıklar varmış ama biz de bunları yaptık ve güvenliği sağladık derler. Çok önemlidir! Üstelik blokzinciri dünyasının teknik altyapısı geleneksel yazılım ve siber suçlarla mücadele tekniklerinden çok çok farklı yaklaşımları gerektirir. O yüzden de bu işin uzmanları sıklıkla alaylı olur.
Bu olaydan hem BtcTurk’e ve diğer kripto para platformlarımıza hem de kamu otoritesine çok önemli birtakım notlar çıkıyor. Hazır kripto varlık yasası da gündemdeyken göz ardı etmememiz gerekiyor.
Lütfen bu kuruluşlara standart finansal kuruluşlar gözüyle bakmayın. Bu kuruluşlar standart aracı kuruluşlar da değil! Bu platformlar tamamen kodlarla, algoritmalarla yönetilen blokzincirleriyle etkileşime geçen yeni nesil dijital finans kuruluşları.
O yüzden ısrarla dijital varlıklara yönelik otoritenin BDDK olması gerektiğini Paramedya’da çokça defa yazılarımızla belirtmiştik.
Düzenlemelerin de bu perspektiften yapılması gerekiyor.
Blokzincirinin doğasını ve ruhunu anlayarak çerçeveyi çizelim ki ilerleyen süreçte yeni mağduriyetlerle karşı karşıya kalmayalım.