Kripto para saklama alanında büyük deprem! Japonya DMM hacklendi, 3.12 milyar dolarlık kayıp, 2026'da zorunlu kayıt öngörülüyor

Japon Finans Kurulu (FSA), kripto para saklama ve işlem yönetimi hizmeti sağlayıcılarının düzenleyici kurumlara kayıt zorunluluğu getirmeyi düşünüyor; komite çalışma grubu 7 Kasım’da bu konuyu tartıştı ve borsaların yalnızca kayıtlı hizmet sağlayıcılarını kullanmasını planlıyor. Bu adım, 2024 yılında DMM Bitcoin’e yapılan siber saldırı ve yaklaşık 482 milyar Yen (yaklaşık 3.12 milyar dolar) değerindeki Bitcoin’in çalınması olayından kaynaklanıyor; saldırganların giriş noktası ise dış kaynaklı Ginco adlı şirket olarak belirlendi.

DMM Saldırısı 3.12 Milyar Dolar ile Regülasyon Devrimini Tetikliyor

Nikkei gazetesi 7 Kasım’da, Japonya Başbakanlık Danışma Kurulu’nun finansal sistem komitesi altındaki bir çalışma grubunun kripto para saklama düzenlemelerini tartıştığını bildirdi. Bu tartışmanın doğrudan tetikleyicisi, 2024 yılında Japon kripto dünyasını sarsan DMM Bitcoin siber saldırısıydı. Yaklaşık 482 milyar Yen (yaklaşık 3.12 milyar dolar) değerindeki Bitcoin bu olayda çalındı ve Japon kripto para tarihinin en ciddi güvenlik ihlallerinden biri haline geldi.

Daha da şaşırtıcı olan ise saldırganların giriş noktası. Soruşturma, saldırganların doğrudan DMM Bitcoin borsasının sistemini kırmadığını, bunun yerine Tokyo merkezli yazılım firması Ginco adlı dış kaynaklı şirket aracılığıyla sızdığını gösteriyor. DMM, işlem yönetimini Ginco’ya outsource etmiş ve Ginco’nun sisteminde güvenlik açıkları bulunuyordu; bu da zincirin en zayıf halkası oldu. Bu “tedarik zinciri saldırısı” modeli, mevcut kripto saklama sistemlerinin kritik kusurunu ortaya koyuyor.

Mevzuata göre, kripto para borsalarının mevduatları sıkı şekilde yönetmesi gerekiyor; kullanıcı varlıkları soğuk cüzdanlarda tutulmalı. 2017 yılında Coincheck’in 5.3 milyar dolar çalınmasından sonra, Japonya en katı borsa düzenleme çerçevesini kurdu. Ancak Nikkei, şu anda borsa ile çalışan üçüncü taraf hizmet sağlayıcılar için benzer düzenlemelerin olmadığını belirtiyor. Bu düzenleyici boşluk, DMM vakasının temel nedenlerinden biri oldu.

DMM olayı, acı bir ders verdi. Borsa kendisi tüm güvenlik kurallarına uyuyor olsa bile, varlıklarını soğuk cüzdanda tutup çoklu imza uygulaması yapsa da, bağlı üçüncü taraf hizmet sağlayıcılar açıklar içeriyorsa, tüm önlemler boşa çıkabilir. Saldırganlar doğrudan borsanın ana sistemini kırmak zorunda kalmadan, tedarik zincirinin en zayıf halkasını bulup saldırabilir. Bu saldırı modeli, siber güvenlik alanında “tedarik zinciri saldırısı” olarak bilinir ve son yıllarda geleneksel finans ve teknoloji sektörlerinde de artış göstermektedir.

Çoğu çalışma grubunun üyesi, tartışmalar sonrası önerilen yeni sistemi destekledi ve dijital varlık düzenlemesinde daha net kurallar talep etti. Bu yüksek fikir birliği, DMM olayının Japon düzenleyiciler üzerindeki etkisini gösteriyor. Bir olayın 3.12 milyar dolar kayba yol açması, düzenleyicilerin kararlı adımlar atmasını gerektiriyor; böylece sistem açıkları kapatılabilir.

Kripto Para Saklama Kayıt Sisteminin Temel Unsurları

FSA, saklama ve işlem hizmeti sağlayıcılarının düzenleyici kurumlara kayıt zorunluluğu getirmeyi planlıyor; ayrıca borsaların yalnızca kayıtlı saklama hizmeti sağlayıcılarının sistemlerini kullanmasını isteyecek. Bu adım, olası hırsızlık veya sistem arızalarına yol açabilecek güvenlik açıklarını çözmeyi amaçlıyor. Bu sistemin temel mantığı, üçüncü taraf hizmet sağlayıcılarını, borsa ile aynı düzenleyici çerçeveye dahil etmek ve düzenleyici boşlukları ortadan kaldırmak.

Kayıt sistemi aşağıdaki temel gereksinimleri içerecek şekilde tasarlandı: Yeterli sermaye oranı, hizmet sağlayıcıların potansiyel zararları karşılayacak mali güce sahip olduğunu garanti eder; güvenlik denetimi, bağımsız üçüncü taraflarca düzenli olarak yapılmalı, sızma testleri ve kod inceleme raporları sunulmalı; sigorta zorunluluğu, siber güvenlik ve saklama varlıkları sigortası satın alınmalı, saldırı veya sistem arızası durumunda kullanıcılar tazmin edilmeli.

Teknoloji standartları, kriptografik algoritma güçleri, özel anahtar üretimi ve saklama yöntemleri, çoklu imza gereksinimleri, soğuk ve sıcak cüzdanların ayrımı gibi teknik detayları kapsayacak. Düzenli raporlama yükümlülüğü, FSA’ya çeyrek veya yıllık raporlar sunmayı, saklama varlıkları, güvenlik olayları ve sistem güncellemeleri hakkında bilgi vermeyi içerir. İhlal durumunda, düzenleyici yaptırımlar, kayıtsız veya kurallara uymayan hizmet sağlayıcılarına para cezası, faaliyet durdurma ve hatta cezai kovuşturma getirecek; aynı şekilde, kayıtsız hizmet kullanan borsalara da yaptırımlar uygulanacak.

Beklenen Kayıt Gereksinimleri Çerçevesi

Yeterli Sermaye: Asgari kayıt sermayesi ve sürekli sermaye şartları

Güvenlik Denetimi: Yıllık bağımsız denetim ve sızma testi raporları

Sigorta Kapsamı: Zorunlu siber güvenlik ve saklama varlıkları sigortası

Teknoloji Standartları: Kriptografi güçleri, özel anahtar yönetimi, çoklu imza kuralları

Periyodik Raporlama: FSA’ya saklama büyüklüğü ve güvenlik olayları bildirimi

İhlal Cezaları: Para cezaları, faaliyet durdurma ve cezai kovuşturma

Bu kapsamlı düzenleyici çerçeve uygulamaya konursa, Japonya, kripto para saklama hizmetlerini en sıkı denetleyen ülkelerden biri haline gelecek. ABD ve Avrupa ise düzenlemeleri güçlendirse de, çoğunlukla borsa odaklı olup, üçüncü taraf saklama hizmetlerine ilişkin düzenlemeleri nispeten gevşek tutuyor.

Rapora göre, FSA bu tartışmalara dayanarak en kısa sürede bir rapor hazırlamayı ve 2026 yılındaki meclis oturumunda Finansal Araçlar ve Menkul Kıymetler Yasası’nda değişiklik öngören tasarısını sunmayı planlıyor. Bu da yeni düzenlemenin en erken 2026 ikinci yarısı veya 2027 başında yürürlüğe girebileceği anlamına geliyor. Tartışmalardan yasalaşmaya genellikle 12-18 ay zaman alır; mevcut hizmet sağlayıcılarına hazırlık için zaman tanınmış olur.

Küresel Kripto Saklama Endüstrisine Zincir Etkisi

Japonya’nın bu düzenleyici yeniliği, küresel çapta domino etkisi yaratabilir. Dünyanın üçüncü büyük kripto piyasası (ABD ve Çin’den sonra), Japonya’nın düzenleme politikaları diğer ülkeler için referans olabiliyor. 2017’de Coincheck siber saldırısından sonra, Japonya’nın katı borsa düzenleme sistemi Güney Kore ve Singapur gibi ülkeler tarafından da benimsenmişti. Bu yeni üçüncü taraf saklama hizmetleri düzenlemesi de benzer şekilde örnek teşkil edebilir.

Küresel kripto saklama hizmeti sağlayıcıları açısından, Japonya pazarına giriş bariyerleri önemli ölçüde artacak. Ginco gibi küçük yazılım şirketleri, kayıt şartlarını karşılayamazsa piyasadan çekilmek veya büyük uyum yatırımları yapmak zorunda kalabilir. Bu tür bir elenme, kısa vadede sektör maliyetlerini artırsa da, uzun vadede saklama sektörünün uzmanlaşma ve güvenlik standartlarını yükseltmesine katkı sağlayacak.

Büyük uluslararası saklama hizmetleri sağlayıcıları, örneğin BitGo, Fireblocks gibi şirketler, bu düzenleyici değişikliklerden en çok fayda sağlayacaklar. Bu şirketler, Avrupa ve ABD’de kurulu uyum ve güvenlik altyapılarıyla Japonya pazarına girişte düşük maliyetlerle avantaj sağlayabilir. Buna karşılık, sermaye ve teknoloji eksikliği yaşayan küçük hizmet sağlayıcıları hayatta kalmakta zorlanabilir.

Japonya’daki kripto borsaları ise, bu yeni düzenlemenin var olan saklama düzenlemelerini yeniden gözden geçirmelerini zorunlu kılacak. Şu anda kullandıkları hizmet sağlayıcılar kayıt olamazsa, sistem geçişleri, sözleşme yenilemeleri ve operasyon kesintileri gibi riskler ortaya çıkabilir. Ancak uzun vadede, bu düzenlemenin, borsaların genel güvenlik seviyesini artıracağı ve üçüncü taraf açıklarından kaynaklanan kayıpları azaltacağı öngörülüyor.

Ayrıca, Mali Hizmetler Ajansı, yerel stabil coin projelerini hızlandırmak için çalışmalarını sürdürüyor. Geçen ay, Japonya ilk Yen’e bağlı stabil coin olan JPYC’yi onayladı ve hızla piyasaya sürdü. Geçen hafta, Mizuho Bank, Mitsubishi UFJ Financial Group ve Sumitomo Mitsui Banking Corporation gibi büyük bankaların katıldığı pilot projeleri duyurdu. Bu düzenleyici esneklik ve saklama hizmetleri sıkılaştırma stratejisi, Japonya’nın inovasyon ve güvenlik arasında denge kurmaya çalıştığını gösteriyor.

Küresel düzenleyici trendler açısından, Japonya’nın bu girişimi yeni bir uluslararası standart haline gelebilir. Avrupa’nın MiCA çerçevesi kapsamlı olsa da, üçüncü taraf saklama hizmetleri için detaylı kurallar içermiyor. ABD’de ise düzenlemeler eyaletler arasında farklılık gösteriyor. Eğer Japonya’nın kayıt sistemi etkili olursa, diğer ülkeler de benzer adımlar atabilir ve küresel kripto saklama standartları oluşabilir.

Endüstri oyuncuları açısından, bu gelişme önceden hazırlık yapma fırsatı sunuyor. Japonya’nın kayıt şartlarını ilk karşılayan hizmet sağlayıcılar, sadece Japonya pazarını değil, aynı zamanda diğer ülkelerde benzer düzenlemeler olursa avantaj sağlayabilir. Güvenlik altyapısı, uyum sistemleri ve sigorta kapsamına yatırım yapmak, sıkı düzenlemelerle rekabet avantajı haline dönüşebilir.