DeFi Güvenlik Krizi: En İyi Denetçi, Tüm Protokollerin Güvensiz Olduğunu Uyardı

Orijinal | Odaily Yıldız Günü ( @OdailyChina )

Yazar: Azuma (@azuma_eth)

Tüm DeFi'nin güvenli olmadığını düşünüyorum.

OpenZeppelin kurucusu Manuel Aráoz, dün X üzerinde bıraktığı bu iddia, zaten durgun kalan DeFi piyasasını yeniden sarstı.

Manuel, Aave, MakerDAO ve Compound gibi önce düşük riskli mavi çip protokolleri olarak görülen birçok DeFi protokolünden para çekmeye başladığını bile belirtti.

Bu, bir layıksızın korku salması değil. Tam tersine, Manuel kendisi DeFi güvenlik altyapısının en temel mimarlarından biri ve OpenZeppelin, sektörün en yaygın güvenlik denetim şirketlerinden biridir; sözleşmeler kütüphanesi, güvenlik standartları ve denetim çerçevesi neredeyse tüm DeFi dünyasını kaplamıştır.

Manuel'ın tutumunu tamamen değiştiren neden, Yapay Zeka'dır. Manuel, Yapay Zeka Kodlama Ajantlarının akıllı sözleşmelerdeki açıkları tanıma ve sömürme yeteneklerinin üssel olarak arttığını düşünmektedir.

Bu, geçmişte üst düzey beyaz şapkalı ekiplerin bulması haftalar süren sorunların şimdi AI tarafından dakikalar içinde taranabileceğini; geçmişte hakerlerin protokol mantığını uzun süre incelemesi gereken durumların şimdi AI tarafından doğrudan saldırı yollarının otomatik olarak analiz edilebileceğini; geçmişte DeFi'nin "açık ve şeffaf" olması bir avantaj iken şimdi ise saldırganlar için en iyi eğitim veri seti haline geldiğini anlamına gelir.

Manuel, akıllı sözleşme güvenliğinin temelde aşırı bir eşitsizlik oyunu olduğunu da vurguladı — savunma tarafı tüm açıkları düzeltmelidir, ancak saldırgan yalnızca bir açıkları bulmak yeterlidir ki fonları çalabilsin. AI'nın saldırı verimliliğini üssel olarak artırmaya başlamasıyla bu eşitsizlik hızla dengesizleşiyor.

Geçen aylardaki DeFi güvenlik olaylarını gözden geçirdiğinizde, Manuel'in endişelerinin abartılı olmadığını göreceksiniz.

Nisan, DeFi tarihinin neredeyse en kötü ayı oldu.

• 1 Nisan'da April Fools' Day günü, Drift Protocol, yönetici yetkilerinin ele geçirilmesi ve çok imzalı yürütme açıklığı nedeniyle 280 milyon dolar kaybetti (ayrıntılar için April Fools' Day şakası mı? Drift Protocol, 280 milyon doları çalındı, Solana ekosisteminde ikinci büyük DeFi soygunu oldu).
• Daha sonra 19 Nisan'da, Kelp DAO, köprü protokolünün işgal edilmesi nedeniyle 292 milyon dolar kaybetti (ayrıntılar için DeFi yeniden 292 milyon dolar çalındı, bu sefer Aave bile güvenli değil mi?), hakerler daha sonra Aave gibi kredi protokollerini kullanarak kaçtı ve bu da tüm DeFi'nin kötü borçlar ve bunun yan etkileriyle kaplı kalmasına neden oldu.

Mayıs'a girdikten sonra kaza azalmadı, aksine daha da yayıldı.

• 15 Mayıs'ta THORChain saldırıya uğradı; yeni katılan düğüm operatörleri, GG20 eşik imza şeması (TSS) zafiyetini kullanarak kasa özel anahtarını yeniden oluşturdu ve doğrudan çıkış işlemleri gerçekleştirdi, bu da 10 milyon doların üzerinde bir kayba neden oldu.
• 18 Mayıs'ta, Verus'un köprü protokolü saldırıya uğradı; saldırgan, doğrulamayı atlayarak Ethereum rezervlerinden varlık çekmek için çapraz zincir içe aktarma payload'u sahtekarlık yaptı ve yaklaşık 11,58 milyon dolar çaldı.
• 19 Mayıs'ta, Monad üzerindeki Echo Protocol, özel anahtar sızıntısı nedeniyle saldırıya uğradı ve saldırgan, 1000 eBTC (76,7 milyon dolar değerinde) döktürüp, Curvance üzerinden önceden test edilmiş saldırı yoluyla fonları çekti.
• 24 Mayıs'ta, MiCA düzenleyici çerçevesi altında uyumlu bir stabil kripto para yayıncısı olan StablR, saldırganların EURR ve USDR'nin artırılmış arzı yoluyla 2,8 milyon doların üzerinde kâr elde ederek saldırıya uğradı ve EURR ile USDR'nin değer bağlantılarını kaybetmesine neden oldu.
• 25 Mayıs'ta SquidRouter modülü saldırıya uğradı ve 86 adet Gnosis Safe cüzdanından yaklaşık 3 milyon dolarlık varlık çalındı.
• 27 Mayıs'ta, StakeDAO dağıtıcısının özel anahtarı Arbitrum üzerinde sızdı, saldırgan yaklaşık 5,45 trilyon vsdCRV üretti ve bunun bir kısmını 43,7 ETH'ye çevirdi.

Yüksek sıklıkta meydana gelen güvenlik olayları, zincir içi kodlardan zincir dışı yönetime kadar DeFi'nin tüm hatlarda geri çekildiğini gösteriyor.

Neden DeFi savunma ve saldırılar bu yaz hızla çöküşe uğradı? Geleneksel hacker tekniklerinin gelişimi dışında, AI büyük modellerinin hızlı ilerlemesi, dengeleri bozan nihai ağırlık haline gelmektedir.

Geçmişte, karmaşık bir akıllı sözleşme açıklığı (özellikle çapraz zincir, çok katmanlı iç içe geçmiş veya son derece gizli yeniden girme mantığı içeren) bulmak, en iyi hacker'ların haftalar hatta aylarca kod incelemesi gerektirirdi. Ancak, uzun bağlam, güçlü mantıksal çıkarım ve kendi araçlarını çağırma yeteneğine sahip AI temsilcilerinin (Agents) olgunlaşmasıyla bu durum kalitatif bir değişim yaşadı.

• Saniye düzeyinde tarama ve tüm ağda "sıfır gün açıkları" keşfi: Saldırganlar, açık kaynak kod kütüphanelerini yeni nesil AI çıkarım modeline beslediğinde, AI birkaç saniye içinde deneyimli bir güvenlik uzmanı gibi yüzlerce uç senaryoyu simüle ederek, yorgun insan denetçilerinin kaçırabileceği sınır durumlarını net bir şekilde tespit eder.
• Otomatik saldırı betik üretimi: AI, sadece açıkları keşfetmekle kalmaz, aynı zamanda fonları çalmak için otomatik olarak yazılan, test edilen ve dağıtılan “hacker akıllı sözleşmelerini” de oluşturur.
• Çevrimdışı DevOps ve toplumsal mühendisliğin mükemmel senaryosu: AI, mükemmel bir geliştirici gibi görünerek phishing saldırıları gerçekleştirebilir veya DeFi ekiplerinin GitHub gönderilerini 24 saat boyunca izleyebilir. Ekip hassas bilgiler veya doğrulanmamış onarım kodları yüklediğinde, AI insan güvenlik görevlilerinin tepki süresinden çok daha hızlı, saniyeler içinde saldırıya geçer.

Bu AI destekli güvenlik savunma savaşında, hakerler AI sayesinde neredeyse sınırsız mermi ve saniye düzeyinde saldırı hızına sahipken, DeFi, yavaş tempolu yönetim oylaması, çoklu imza onayı ve gecikmiş güvenlik denetimleri nedeniyle karşılık veren bir savunma sağlayamıyor.

Geçen ay, Claude'ın arkasındaki AI geliştirme şirketi Anthropic, yeni nesil model olan Mythos'u resmen duyurdu (ayrıntılar için Anthropic, tarihin en güçlü AI modelini oluşturdu ama yayınlamaktan korktu...). Bu, insanlık tarihinde toplam parametre sayısı on trilyon seviyesini aşan ilk modeldir (karşılaştırılması için mevcut piyasadaki ana akım modellerin parametre sayısı binlerce milyar ila bir trilyon arasındadır) ve eğitim maliyeti 10 milyar dolarla sınırlanmıştır.

Ancak Mythos,网络安全方面 的 专业能力（Anthropic, Mythos kullanarak birkaç hafta içinde binlerce sıfır gün açığı tespit ettiğini açıklamıştı), bu nedenle Anthropic, modeli doğrudan yayınlamak yerine, potansiyel açıkları önceden gidermek için öncelikle bir “Cam Kanatlar” programı aracılığıyla büyük şirketlere denemek için sunmayı planlıyor.

Şu anki DeFi güvenlik durumu hala çok ciddi; Mythos'un kamuya açıklanmasından sonra endüstrideki güvenlik önlemlerinin nasıl yeni tehditlerle karşı karşıya kalacağı düşünülemez.

Normal DeFi katılımcıları, likidite sağlayıcıları (LP) ve cüceler için şu anda en önemli soru, oturup bir hesap yapmak.

Uzun süredir kullanıcılar, geleneksel finansın birkaç katı üzerinde yıllık getiri elde etmek amacıyla fonlarını DeFi'ye yatırmıştır. Kripto piyasalarında yükseliş döneminde veya likidite kazanma faaliyetlerinin yoğun olduğu dönemlerde, %10, %20 ve hatta daha yüksek getiriler, kullanıcıların “potansiyel teknolojik risk” konusundaki psikolojik beklentilerini karşılayabilecek düzeydedir.

Ancak bugün bu temel mantık zaten sarsılmış hatta devrilmış durumda, DeFi'nin risk-getiri oranı dengesizleşmiştir. Getiri tarafında, pazarın var olan rekabete girmesiyle güvenlik yatağı artmış ve çoğu ana akım, nispeten güvenilir DeFi protokolünün gerçek getirisi tek basamaklı aralığa gerilemiştir; risk tarafında ise kullanıcıların ana paraları, AI tarafından anında kırılabilir ve hırsızlıkla anında boşaltılabilen bir karadelikte bulunuyor. Protokol bir siber saldırıya uğrarsa, token değerini sıfıra düşürmek ve fon havuzunu boşaltmak sadece dakikalar içinde gerçekleşiyor ve hiçbir yasal, sigorta veya merkezi banka bu riski karşılayamıyor.

%100 ana para kaybı riskiyle yaklaşık %5 yıllık getiri kazanmak açıkça karlı bir işlem değildir.

Manuel'in sözleri belki de aşırı gibi görünse de, DeFi'nin son örtüsünü çarptı. Hacker'ların AI'yi standart bir silah olarak kullandığı ve endüstride güvenlik olaylarının sürekli olarak patladığı bu gerçek karşısında, belirli bir getiri için %100 ana paranızı kaybetmeye hazır olmazsanız, "hızlıca sermayenizi çekip kazancınızı garantilemek", şu piyasa döngüsünde en akıllıca ve risk yönetimi ilkelerine en uygun seçim olabilir.