Ana Sayfa
Haberler
Detaylar

DeFi Güvenlik Krizi: OpenZeppelin Kurucusu, Tüm Protokollerin Güvensiz Olduğunu Uyardı

icon MarsBit
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
AAVE
$82,802%0,5
This is the logo of the coin.
Maker
----
This is the logo of the coin.
COMP
$18,33%3,67
AI summary iconÖzet

expand icon
OpenZeppelin kurucusu Manuel Aráoz, tüm DeFi protokollerinin AI destekli DeFi istismarları nedeniyle risk altında olduğunu uyardı. Aráoz, yakınlarına Aave, MakerDAO ve diğer platformlardan fonlarını çekmelerini söyledi. Nisan ayında Drift Protokolü'nde 2,8 milyar dolarlık büyük bir güvenlik ihlali yaşandı, Mayıs ayında ise 100 milyon doların üzerinde kayıp oldu. Aráoz, AI'nın artık akıllı sözleşmelerdeki hataları gerçek zamanlı olarak tespit edebileceğini ve DeFi yatırımcılarını yeni tehditlere maruz bıraktığını iddia ediyor.

Orijinal | Odaily Yıldız Günlüğü (@OdailyChina)

Yazar: Azuma (@azuma_eth)

DeFi

Tüm DeFi'nin güvenli olmadığını düşünüyorum.

OpenZeppelin kurucusu Manuel Aráoz, dün X üzerinde bıraktığı bu iddia, zaten durgun kalan DeFi piyasasını yeniden sarstı.

DeFi

Manuel, Aave, MakerDAO ve Compound gibi önce düşük riskli mavi çip protokolleri olarak görülen birçok DeFi protokolünden para çekmek için aile ve arkadaşlarına tavsiyede bulunmaya başlamıştır.

Bu, bir layık olmayanın korku salgılaması değil. Tam tersine, Manuel kendisi DeFi güvenlik altyapısının en temel mimarlarından biri ve OpenZeppelin, sektörün en yaygın güvenlik denetim şirketlerinden biridir; sözleşmeler kütüphanesi, güvenlik standartları ve denetim çerçevesi neredeyse tüm DeFi dünyasını kapsar.

Manuel'ın tutumunda tam bir dönüşüm yaratan faktör, Yapay Zekâ'dır. Manuel, Yapay Zekâ Kodlama Ajantlarının akıllı sözleşmelerdeki açıkları tanıma ve kullanma yeteneklerinin üssel olarak arttığını düşünmektedir.

Bu, geçmişte üst düzey beyaz şapkalı ekiplerin haftalarca bulması gereken sorunların şimdi AI tarafından dakikalar içinde taranabileceğini; geçmişte hakerlerin protokol mantığını uzun süre incelemesi gereken durumların şimdi AI tarafından doğrudan saldırı yollarının otomatik olarak analiz edilebileceğini; geçmişte DeFi'nin "açık ve şeffaf" olması avantaj iken şimdi ise saldırganlar için en iyi eğitim veri seti haline geldiğini anlamına gelir.

Manuel, akıllı sözleşmelerin güvenliğinin temelde aşırı bir dengesizlik içeren bir oyun olduğunu da vurguladı — savunma tarafı tüm açıkları düzeltmelidir, ancak saldırgan yalnızca bir tane bulsa yeterli olur ve bu sayede fonları çalabilir. AI'nın saldırı verimliliğini üssel olarak artırmasıyla bu dengesizlik hızla bozuluyor.

Soğuk gerçek: DeFi, artık bir haker çekme makinesidir

Geçen aylardaki DeFi güvenlik olaylarını gözden geçirdiğinizde, Manuel'in endişelerinin abartılı olmadığını göreceksiniz.

Nisan, DeFi tarihinin neredeyse en kötü ayı oldu.

  • 1 Nisan'da April Fools' Day günü, Drift Protocol, yönetici yetkilerinin ele geçirilmesi ve çok imzalı yürütme açıklığı nedeniyle 280 milyon dolar kaybetti (bkz. "April Fools' Fırsatı? Drift Protocol, 280 milyon doları çalındı, Solana ekosisteminde ikinci büyük DeFi soygunu olabilir").
  • Daha sonra 19 Nisan'da, Kelp DAO, köprü protokolünün işgal edilmesi nedeniyle 292 milyon dolar kaybetti (bakınız: "DeFi yeniden 292 milyon dolar çalındı, bu sefer Aave bile güvenli değil mi?"), hırsızlar daha sonra Aave gibi kredi protokollerini kullanarak kaçtı ve bu da tüm DeFi'nin kötü borçlar ve bunun ardılı olan etkilerin gölgesine girmesine neden oldu.

Mayıs'a girdikten sonra kaza azalmadı, aksine daha da yayıldı.

  • 15 Mayıs'ta THORChain saldırıya uğradı; yeni katılan düğüm operatörleri, GG20 eşik imza şeması (TSS) zafiyetini kullanarak kasa özel anahtarını yeniden oluşturdu ve doğrudan çıkış işlemleri gerçekleştirdi, bu da 10 milyon doların üzerinde bir kayba neden oldu.
  • 18 Mayıs'ta, Verus'un köprü protokolü saldırıya uğradı; saldırgan, doğrulamayı atlayarak Ethereum rezervlerinden varlık çekmek için çapraz zincir içe aktarma payload'ı sahtekârlık yaptı ve yaklaşık 11,58 milyon dolar çaldı.
  • 19 Mayıs'ta, Monad üzerindeki Echo Protocol, özel anahtar sızıntısı nedeniyle saldırıya uğradı ve saldırgan, 1000 eBTC (76,7 milyon dolar değerinde) yarattı ve önce test edilmiş saldırı yolu üzerinden Curvance üzerinden fonları çekti.
  • 24 Mayıs'ta, MiCA düzenleyici çerçevesi kapsamında uyumlu bir stabil kripto para yayıncısı olan StablR, saldırganların EURR ve USDR'nin fazladan basımı yoluyla 2,8 milyon doların üzerinde kâr elde etmesi ve EURR ile USDR'nin değer bağlantılarını kaybetmesi nedeniyle hedef alındı.
  • 25 Mayıs'ta SquidRouter modülü saldırıya uğradı ve 86 adet Gnosis Safe cüzdanı yaklaşık 3 milyon dolarlık varlığa sahip oldu.
  • 27 Mayıs'ta, StakeDAO dağıtıcısının özel anahtarı Arbitrum üzerinde sızdı, saldırgan yaklaşık 5,45 trilyon vsdCRV üretti ve bunun bir kısmını 43,7 ETH'ye çevirerek kaçtı.

Yüksek sıklıkta meydana gelen güvenlik olayları, zincir içi kodlardan zincir dışı yönetime kadar DeFi'nin tüm hatlarda geri çekildiğini gösteriyor.

Yapay zeka, hakerlerin nükleer silahı haline geldi

Neden DeFi savunma ve saldırıları bu yaz hızla çöküşe uğradı? Geleneksel hacker tekniklerinin gelişiminin yanı sıra, AI büyük modellerinin hızlı ilerlemesi, dengenin bozulmasında son ağırlık olarak ortaya çıkıyor.

Geçmişte, karmaşık bir akıllı sözleşme açıklığı (özellikle çapraz zincir, çok katmanlı iç içe geçmiş veya son derece gizli yeniden girme mantığı içeren) bulmak, en iyi hacker'ların haftalar hatta aylarca kod incelemesi gerektirirdi. Ancak, uzun bağlam, güçlü mantıksal çıkarım ve kendi araçlarını çağırma yeteneğine sahip AI temsilcilerinin (Agents) olgunlaşmasıyla bu durum kalitatif bir değişime uğradı.

  • Saniye düzeyinde tarama ve tüm ağda "sıfır gün açıkları" keşfi: Saldırganlar, açık kaynak kod kütüphanelerini yeni nesil AI çıkarım modeline beslediğinde, AI birkaç saniye içinde deneyimli bir güvenlik uzmanı gibi yüzlerce uç senaryoyu simüle ederek, yorgun insan denetçilerinin kaçırabileceği sınır durumlarını hassas bir şekilde tespit eder.
  • Otomatik saldırı betik üretimi: AI, sadece açıkları keşfetmekle kalmaz, aynı zamanda fonları çekmek için “hacker akıllı sözleşmelerini” otomatik olarak yazma, test etme ve dağıtma yeteneğine de sahiptir.
  • Çevrimdışı DevOps ve toplumsal mühendisliğin mükemmel koordinasyonu: AI, mükemmel bir geliştirici gibi görünerek phishing saldırıları gerçekleştirebilir veya DeFi ekiplerinin GitHub gönderilerini 24 saat boyunca izleyebilir. Ekip hassas bilgiler veya doğrulanmamış onarım kodları yüklediğinde, AI insan güvenlik görevlilerinin yanıt süresinden çok daha hızlı, saniyeler içinde saldırıya geçer.

Bu AI destekli güvenlik savunma savaşında, hakerler AI sayesinde neredeyse sınırsız mermi ve saniye düzeyinde saldırı hızına sahipken, DeFi, yavaş tempolu yönetim oylaması, çoklu imza onayı ve gecikmiş güvenlik denetimleri nedeniyle karşılık veren bir savunma sağlayamıyor.

Geçen ay, Claude'ın arkasındaki AI geliştirme şirketi Anthropic, yeni nesil model olan Mythos'u resmen duyurdu (ayrıntılar için "Anthropic, tarihin en güçlü AI modelini oluşturdu ama yayınlamaktan çekindi..." başlıklı makaleye bakın). Bu, insanlık tarihinde toplam parametre sayısı on trilyon seviyesini aşan ilk modeldir (karşılaştırılmak üzere, şu anda piyasada yaygın olan modellerin parametre sayısı binlerce milyar ile bir trilyon arasındadır) ve eğitim maliyeti 10 milyar dolarla sınırların ötesine çıkmıştır.

Ancak Mythos,网络安全方面 的 专业能力(Anthropic, Mythos kullanarak birkaç hafta içinde binlerce sıfır gün açığı tespit ettiğini açıklamıştı) nedeniyle, Anthropic bu modeli doğrudan yayınlamaktan kaçındı ve bunun yerine, “Cam Kanatlar” programı aracılığıyla önde gelen büyük şirketlerin denemesini ve potansiyel açıkları önceden düzeltmesini planladı.

Şu anki DeFi güvenlik durumu hala çok ciddi; Mythos'un kamuoyuna açıklanmasının endüstrideki güvenlik önlemlerine nasıl yeni tehditler getireceğini hayal etmek zor.

En büyük sorun: Risk-getiri oranı uzun zamandır dengesizleşti

Sıradan DeFi katılımcıları, likidite sağlayıcıları (LP) ve cüceler için şu anda en önemli soru, oturup bir hesap yapmak.

Uzun zamandır kullanıcılar, geleneksel finansın birkaç katı olan yıllık getiri arayışıyla varlıklarını DeFi'ye yatırıyorlardı. Kuru dönemlerde veya likidite kazımı sırasında %10, %20 veya daha yüksek getiriler, "potansiyel teknolojik risk" konusundaki kullanıcı beklentilerini karşılayabiliyordu.

Ancak bugün bu temel mantık zaten sarsılmış hatta devrilmış durumda; DeFi'nin risk-getiri oranı dengesiz hale gelmiştir. Getiri tarafında, pazarın var olan rekabete girmesiyle güvenlik yatağı artmış ve çoğu ana akım, nispeten güvenilir DeFi protokolünün gerçek getirisi tek haneli aralığa gerilemiştir; risk tarafında ise kullanıcıların ana sermayesi, AI tarafından anında kırılabilen ve hırsızlık kredisiyle anında boşaltılabilen bir karadelikte maruz kalmıştır. Protokol bir siber saldırıya uğrarsa, token değer sıfıra düşer ve fon havuzları sadece dakikalar içinde boşaltılır; bu durumda hiçbir yasal, sigorta veya merkez bankası koruma sağlamaz.

%100 ana para kaybı riskiyle yaklaşık %5 yıllık getiri kazanmak açıkça mantıklı bir işlem değil.

Manuel'in sözleri belki de aşırı gibi görünse de, DeFi'nin son örtüsünü çarptı. Saldırganların AI'yi artık standart bir silah olarak kullandığı ve endüstride güvenlik olaylarının sürekli olarak patladığı bu gerçek karşısında, belirli bir getiri için %100 ana paranızı kaybetmeye hazır olmazsanız, “hızlıca sermayenizi çekip kârınızı kesmek”, mevcut piyasa döngüsü altında en akıllıca ve risk yönetimi ilkelerine en uygun seçim olabilir.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.