Gnosis’in kurucu ortağı, Gnosis Pay’in bir exploit’e maruz kaldığını doğruladı ve kullanıcıların tüm kayıplarının (%100) karşılanacağını kamuoyuna açıkladı. CriptoNoticias’ın haberine göre, yayın anına kadar Gnosis tarafı ne çalınan tutarı ne de iade mekanizmasını ve zaman çizelgesini açıklamış durumda. Gnosis Pay, Gnosis Chain üzerinde çalışan, kendi kendine saklama (self-custody) esaslı bir Visa banka kartı — “kart bakiyesi kullanıcının zincir üstü cüzdanında tutulur” tasarımını ön plana çıkarıyor ve bu tasarım, olayın tam da can alıcı noktasını oluşturuyor.
Editör Yorumu: Zincir Üstü Kartların “Akıllı Sözleşme Katmanı” Riski Bir Kez Daha Gündemde
Önce sonucu söyleyelim: Bu olayda zarar gören merkezi bir emanet (custody) kartı değil, güvenlik iddiasını akıllı sözleşmeler ve zincir üstü hesaplar üzerine kuran bir ürün oldu. Bu durumun USDT kart kullanıcıları için taşıdığı anlam, “bir kart daha hacklendi” haberinden çok daha fazlasıdır.
Gnosis Pay’in temel anlatısı “paranız kendi Safe cüzdanınızda tutulur, kart sağlayıcı ona dokunamaz” şeklindedir. Teorik olarak bu, emanet tipi çözümlerden daha güvenlidir; ancak bunun bedeli — saldırı yüzeyinin “kart sağlayıcının sunucuları”ndan “akıllı sözleşme + cüzdan yetkilendirmeleri”ne kaymasıdır. Sözleşmede veya yetkilendirme mantığında bir exploit ortaya çıktığı anda, kendi kendine saklamanın avantajı bir anda dezavantaja dönüşür.
Hangi kullanıcılar hemen dikkat kesilmeli?
- Kendi kendine saklama / zincir üstü imza tipi herhangi bir kart tutan kullanıcılar: OneKey Card, Ledger Crypto Life gibi donanım cüzdanını veya zincir üstü hesabı fon kaynağı olarak kullanan ürünler dahil. Bu olay bunları doğrudan etkilemiyor, ancak aynı mimari risk sınıfı, sözleşme yetkilendirme (approval) kayıtlarınızı gözden geçirmenizi gerektirir.
- Emanet tipi USDT kart kullanıcıları: Bybit Card, MPCard gibi fonların kart sağlayıcı/borsa tarafından saklandığı çözümlerde bu olayın doğrudan teknik bir etkisi yoktur — Gnosis ile ilgili herhangi bir yetkilendirmeye sahip değilsiniz.
7 / 30 / 90 günlük beklentiler: 7 gün içinde Gnosis’in çalınan tutarı ve iade detaylarını açıklayıp açıklamayacağı takip edilmeli; 30 gün içinde iadenin fiilen gerçekleşmesi kritik bir eşiktir (“iade sözü vermek” ile “iadeyi gerçekleştirmek” arasındaki mesafe tarihsel olarak sıklıkla küçümsenmiştir); 90 gün içinde ise Gnosis Pay’in olay sonrası denetim raporu yayınlayıp yayınlamayacağı izlenmelidir.
Tarihsel Karşılaştırma: İade Sözü Vermek ≠ İadeyi Gerçekleştirmek
Bu olayı iki eski vakayla yan yana koyduğumuzda daha net görünüyor.
Mart 2023’te USDC, Silicon Valley Bank riski nedeniyle kısa süreliğine 0,87 civarına düşmüştü; Circle o dönemde hızla “tam ödeme” sözü vermiş ve banka krizinin yatışmasının ardından bu sözü yerine getirmişti — bu, rezervlerin şeffaf ve mekanizmanın net olduğu bir taahhüttü. Buna karşılık, Gnosis’in bu seferki taahhüdünde tutar ve mekanizma açıklaması eksik — işte en kritik fark burada: bir şirket “tüm kaybı karşılayacağız” derken ne kadarını, hangi fonla ve ne zaman karşılayacağını söylemiyorsa, taahhüdün güvenilirliği ancak uygulamayla test edilebilir.
Bir diğer karşılaştırma, 2024’te çeşitli DeFi protokollerinin saldırıya uğramasının ardından yaşanan “yönetim hazinesi iadesi” vakalarıdır — bunların önemli bir kısmı sonunda yalnızca kısmi iade yapmış ya da orijinal varlık yerine token ile ödeme yapmıştır. Ortak nokta: her ikisi de zincir üstü ürün ve her ikisinde de kamuya açık iade taahhüdü var. Fark: Gnosis Pay doğrudan gerçek dünya ödemelerine (Visa ağı) bağlı ve kullanıcı tabanında onu günlük harcama kartı olarak kullanan çok sayıda DeFi kökenli olmayan kullanıcı bulunuyor; bu kullanıcıların “zincir üstü risk” toleransı DeFi meraklılarına göre çok daha düşük.
Düzenleyici ve Uyum Perspektifi: AB Sınırları Sıkılaşıyor
Gnosis Pay öncelikli olarak Avrupa pazarına hitap ediyor ve MiCAR ile EMI (elektronik para kuruluşu) düzenleyici çerçevesi altında faaliyet gösteriyor. Bu tür olaylar tam da düzenleyici açıdan en hassas noktaya denk düşüyor: kendi kendine saklanan fonlar + düzenlemeye tabi ödeme ağının melez yapısı, AB’de hâlâ kuralların tam olarak netleşmediği gri bir alanda. Kartın kendisi (Visa) EMI lisansına tabi, ancak altta yatan zincir üstü hesabın güvenlik sorumluluğunun kime ait olduğu mevcut çerçevede net değil.
AB tarafındaki uyum sınırlarını merak eden okuyucular AB Uyum Rehberimize bakabilir. Kısaca: MiCAR kapsamında kart sağlayıcının ödeme aşamasında net yükümlülükleri var, ancak “kullanıcının kendi sakladığı zincir üstü fonların saldırıya uğraması” gibi senaryolarda iade sorumluluğu şu an daha çok kart sağlayıcının gönüllü taahhüdüne dayanıyor, yasal zorunluluğa değil — Gnosis’in “taahhüdü”nün bu kadar önemli ve bu kadar denetlenmeye ihtiyaç duyması da tam olarak bu yüzden.
Önümüzdeki Dönemde İzlenmesi Gereken Kritik Noktalar
- Çalınan tutarın açıklanması: Gnosis bir hafta içinde somut bir rakam verecek mi. Tutar ne kadar uzun süre açıklanmazsa, o kadar dikkatli olunmalı.
- İade mekanizması: Orijinal varlıkla mı yoksa GNO token ile mi iade yapılacak? Taksitli mi yoksa tek seferde mi? Bu, kullanıcıların gerçekte ne kadar geri alacağını belirliyor.
- Olay sonrası denetim: Üçüncü taraf bir güvenlik firmasının rapor hazırlayıp hazırlamayacağı ve kök nedenin (root cause) kamuya açıklanıp açıklanmayacağı.
- AB düzenleyici tepkisi: Herhangi bir EMI düzenleyici kurumunun bu olayla ilgili yazı veya soruşturma başlatıp başlatmayacağı — bu, benzer ürünler için bir gösterge niteliğinde olacak.
Editör Önerileri
- Mevcut Gnosis Pay kullanıcıları: İade detayları açıklanana kadar, zincir üstü cüzdanınızda yakın vadeli harcama ihtiyacınızın üzerindeki bakiyeyi transfer etmeniz ve gereksiz sözleşme yetkilendirmelerini (approval) kontrol edip iptal etmeniz önerilir. “Tam iade sözü verildi” diye yüksek bakiye tutmayın.
- OneKey Card, Ledger Crypto Life gibi zincir üstü tipi kart tutan kullanıcılar: Bu olay sizi etkilemiyor, ancak sözleşme yetkilendirmelerinizi gözden geçirmek için iyi bir zaman.
- Emanet tipi USDT kart kullanıcıları: Herhangi bir işlem yapmanıza gerek yok. Kendi kendine saklama (self-custody) ile emanet (custody) yolu arasında güvenlik açısından tereddüt yaşıyorsanız, 2026 Yılının En İyi 5 Kartı listesindeki farklı mimarilerin ödünleşimlerini karşılaştırabilirsiniz.
- Gnosis Pay’e yeni başvuru yapmayı planlayan kullanıcılar: 30 gün beklemeniz, iadenin gerçekleşmesini ve denetim raporunu görmeniz ardından karar vermeniz önerilir.
Tek cümleyle: Zincir üstü kartlar “güvenliği” ürün iddiasına yazdı, ama güvenlik sürekli kanıtlanması gereken bir süreçtir, bir slogan değil. İade sözü vermek iyi bir şey; iadeyi gerçekten yerine getirmek ise asıl cevap.