Kripto dünyası, yine organize bir exit scam ile sarsıldı. Hyperliquid ekosisteminde faaliyet gösteren HyperVault protokolü, 1,100 kullanıcıdan topladığı 4.64 milyon doları çalarak ortadan kayboldu. Ancak bu olay, basit bir vurkaç vakasından çok daha karmaşık bir hikayeyi gözler önüne seriyor.
Mükemmel Kurgu, Hesaplı Çıkış
HyperVault kendini, Hyperliquid’in HyperEVM altyapısı üzerinde çalışan otomatik getiri optimizasyon platformu olarak tanıtıyordu. %95 APY gibi akıl almaz getiri oranları ve stabil coinlerde %76 getiri vaatleriyle yatırımcıların dikkatini çekmeyi başardı. “Modüler strateji adaptörleri” ve “keeper-bot hasatları” gibi etkileyici teknik terimlerle süslenmiş pazarlama materyalleri, projeye ciddiyet kazandırıyordu.
Ancak gerçek, pazarlama materyallerinin arkasında gizliydi. Protokol, standart ERC-4626 vault standardı yerine iç kayıt defteri sistemi kullanıyordu. Share token’lar yoktu, kullanıcılar ellerinde tutabilecekleri veya blockchain üzerinde takip edebilecekleri hiçbir varlık göremiyordu. Tüm bakiyeler, kontrat içinde görünmez bir şekilde tutuluyordu – mükemmel bir sis perdesi.
İlk Uyarılar Görmezden Gelindi
4 Eylül 2025’te ilk ciddi uyarı geldi. Hyperliquid topluluğundan HypingBull isimli kullanıcı, HyperVault’un şüpheli faaliyetleri hakkında alarm verdi. Proje, Spearbit, Pashov ve Code4rena gibi saygın firmalar tarafından denetlendiğini iddia ediyordu.
HypingBull, Pashov ile doğrudan iletişime geçti. Yanıt netti: “Bu isimde bir projeyi ilk kez duyuyorum.” Code4rena’nın web sitesinde de HyperVault ile ilgili bekleyen, devam eden veya planlanan hiçbir denetim yoktu. Sahte denetim iddiaları, tamamen uydurmaydı.
O sırada protokoldeki toplam değer 700,000 dolardı. HypingBull fonlarını çekti ve diğerlerini de aynısını yapmaya çağırdı. Çoğu dinlemedi. Uyarıdan sonraki üç haftada, TVL 5.8 milyon dolara yükseldi.
Gerçek Denetim, Sahte Şeffaflık
14 Eylül’de HyperVault, Zenith isimli bir güvenlik firmasıyla denetim başlattıklarını açıkladı. Zenith gerçekten işe koyuldu ve 24 Eylül’de taslak raporu teslim etti.
Sonuçlar felaket gibiydi: Toplam 42 güvenlik açığı tespit edildi. Altı tanesi “Yüksek”, on tanesi “Orta” seviye risk taşıyordu. Zenith’in önerisi kesin ve netti: düzeltmelerden sonra tam yeniden denetim gerekli.
HyperVault ekibi raporu aldı, sessizce onayladı ve… iki gün sonra fonları kaçırdı. Denetim raporu hiçbir zaman kamuoyuyla paylaşılmadı. Kullanıcılar, fonlarını kritik güvenlik açıkları barındıran bir protokole emanet ettiklerinden habersizdiler.
Teknik Soygun: Adım Adım
25 Eylül’de operasyon başladı. Ekip dört gün önce Hypercore’dan HyperEVM’e spotSend kullanarak beş adresi $HYPE ile gas ücreti için fonlamıştı. Bunlardan sadece ikisi çekimde kullanıldı.
Saldırganlar önce staking kontratını kendi cüzdanlarına devrettiler, ardından tüm 9 vault’tan fonları boşalttılar. Çeşitli token’lar HYPE’a çevrildi, sonra deBridge köprüsü üzerinden Ethereum ağına aktarıldı.
Birincil adres: 906.88 ETH (3.73 milyon dolar)
İkincil adres: 219.85 ETH (905 bin dolar)
Toplam: 1,126.72 ETH (4.64 milyon dolar)
Fonlar Ethereum’da dört farklı cüzdana dağıtıldı, ardından 3-4 gün içinde küçük parçalar halinde Tornado Cash karıştırıcı servisine gönderildi. İzler tamamen kaybedildi.
Aynı anda tüm dijital varlık silindi: Twitter hesapları kapatıldı, Discord sunucusu yok edildi, web sitesi çevrimdışına alındı, belgeler buharlaştı.
Yüz Yüze Görüşmeler Bile Yetmedi
Projenin görünür lideri Nick Olsen, İsveç’ten olduğunu iddia eden bir şahıstı. Twitter hesabı 0xNyck, Discord kullanıcı adı “0xnyck | hypervault.fi” idi.
HYPEconomist dahil birçok topluluk üyesi, Olsen ile video görüşme yaptığını doğruladı. Yüz yüze konuşmalar, güven inşası, tüm “doxxed” rutini. Sonra 4.64 milyon dolarla ortadan kayboldu.
Ancak Olsen yalnız değildi. Blockchain dedektifi BrutalTrade, arkasındaki geliştirici ağını ortaya çıkardı: jamestarlancer, gurujustin, res-pan, hypervim, perfect-swap, pandorabok, nickbit0, chaincoderpro. Tamamının e-posta adresleri GitHub commitlerinde kayıtlıydı.
Suçüstü yakalandıklarında, GitHub repository’lerini silmeye başladılar. Jamestarlancer tüm hesabını dakikalar içinde yok etti. Gurujustin repo’larını sildi, sonra hesabını tamamen kapattı.
Serial Dolandırıcılar
BrutalTrade daha derine indi. Aynı ekibin daha önce farklı isimler altında benzer projeler yürüttüğünü keşfetti: ZinoFinance, Zero-G Finance, PerfectSwap, NodeSynapse, Seadrome Finance.
Tüm alan adları aynı anonim registrar Njalla üzerinden kayıtlıydı. Aynı cüzdan imzaları, aynı kod yapıları, aynı taktikler. Bu ekip, serial dolandırıcılıktı ve işlerini mükemmelleştirmişlerdi.
BrutalTrade 28 Eylül’de ekibe ultimatom gönderdi: Fonları iade edin, %10’unu bounty olarak alın, tüm yasal işlemler durur. 24 saat süre tanıdı.
Yanıt gelmedi.
Ancak BrutalTrade hazırlıklıydı: “Her şeyi git clone’ladık ;)” Ekibin sildiği her repository, her commit, her kod parçası arşivlenmişti. Dijital izler kaybolmadı.
Acı Dersler
HyperVault vakası, DeFi ekosistemindeki sistemik sorunların bir özeti gibi:
- Gerçekçi olmayan APY’ler (ciddi protokoller %10-20 sunar, %95 değil)
- Sahte denetim iddiaları (her zaman doğrudan firmalarla teyit edin)
- Anonim ekipler (doxxed olmak bile yeterli değil, geçmiş kontrolü şart)
- Share token eksikliği (ERC-4626 standartları sebepsiz göz ardı edilmişse kaçın)
- Admin süper yetkileri (timelock ve multisig yoksa kırmızı bayrak)
4 Eylül’deki açık uyarıya rağmen, denetim raporundaki felaket bulgulara rağmen, matematik açıdan imkansız getirilere rağmen – 1,100 kişi yatırım yapmaya devam etti.
%95 APY hiçbir zaman yüksek getiri anlamına gelmiyordu. Yüksek hızda fon çekimi anlamına geliyordu. Ve HyperVault bunu mükemmel bir hassasiyetle gerçekleştirdi.
Soru şu: Aynı ekip aynı oyunu farklı isimler altında tekrar tekrar oynadığında ve işe yaramaya devam ettiğinde, gerçekten kim soyuluyor – yatırımcılar mı, yoksa tüm merkezsiz finans konsepti mi?
