Andre Cronje: Birçok protokol artık gerçek anlamda DeFi değil, güvenlikte paradigma değişimi şart

안드레 크로녜 “이 artık ‘DeFi’ değil”…güvenlikte paradigma değişimi

Andre Cronje, günümüzdeki pek çok merkeziyetsiz finans(DeFi) protokolünün katı anlamda artık ‘DeFi’ sayılamayacağını savunuyor. Yalnızca akıllı sözleşme denetiminin yeterli olmadığını belirten Cronje, kullanıcı varlıklarının korunması için ‘çekim durdurma mekanizması’ gibi ‘acil durum kontrolü’ araçlarının da devreye girmesi gerektiğini öne sürüyor.

13’ünde (yerel saatle), Cointelegraph’a göre Cronje, Flying Tulip kurucusu ile yaptığı röportajda “Bugünkü birçok protokol, değiştirilemez bir kamusal altyapı değil, gelir elde eden bir ekibin işlettiği işletme” ifadelerini kullandı. Cronje; ‘yükseltilebilir sözleşmeler’, off-chain altyapı, ‘multisig’ yapılar, operasyonel prosedürler ve müdahale ekipleri gibi geleneksel işletme bileşenlerinin DeFi güvenlik mimarisini kökten değiştirdiğini vurguladı.

Bu tartışmanın arka planında ise nisan ayı boyunca ortaya çıkan bir dizi büyük çaplı saldırı bulunuyor. Flying Tulip, kısa süre önce, platformdan anormal bir fon çıkışı tespit edildiğinde çekimleri geciktiren veya beklemeye alan ‘circuit breaker(‘devre kesici’)’ özelliğini devreye aldı. Bu adım, Drift Protocol ve Kelp’te sırasıyla yaklaşık 280 milyon dolar ve 293 milyon dolar büyüklüğünde olduğu tahmin edilen saldırıların ardından geldi. Bu iki olay, ‘DeFi güvenliği’ anlatısının yeniden tartışmaya açılmasına yol açtı.

Cronje, sektörün hâlâ ağırlıklı olarak ‘kod denetimi’ne odaklandığına dikkat çekiyor. Oysa son olayların önemli bir kısmında sorun, akıllı sözleşme kodunun kendisinden değil; altyapıya izinsiz erişim, yetki ele geçirme ve ‘sosyal mühendislik’ gibi klasik ‘web2 saldırı vektörleri’nden kaynaklandı. Cronje’ye göre artık asıl kritik sorular, ‘yükseltme yetkisi kimde’, ‘değişiklik için onay süreci var mı’, ‘timelock ve multisig mekanizmaları gerçekten uygulanıyor mu’ gibi kontrol başlıkları etrafında şekilleniyor. ‘DeFi güvenliği’ giderek insan faktörünün ve operasyonel süreçlerin denetimine kayıyor.

Buna karşılık, ‘devre kesici’ gibi acil durum mekanizmalarına bakış bir hayli bölünmüş durumda. Cronje, bu aracı kalıcı bir çekim engeli olarak değil, anomali tespit edildiğinde zaman kazandıran bir ‘güvenlik tamponu’ şeklinde tanımlıyor. Ona göre kullanıcılar için en kötü senaryo, fonların bir anda sıfırlanması; çekimlerin geçici olarak yavaşlatılması ise ‘zararı sınırlamak’ için mantıklı bir orta yol. Ancak Curve Finance ve Yield Basis kurucusu Michael Egorov, bu tür ‘acil durum kontrolleri’nin kendisinin de yeni bir ‘saldırı yüzeyi’ yaratabileceği uyarısında bulunuyor. Egorov, saldırganların bu yetkileri ele geçirmesi halinde zararların daha da katlanabileceğini ve ‘DeFi’de güven’in tekrar ciddi biçimde sorgulanacağını düşünüyor.

Egorov’a göre son dönemdeki kayıpların çoğu, ‘kod hatası’ndan ziyade off-chain bağımlılıklar ve ‘merkezileşme riskleri’ ile ilgili. Özellikle onay gerektiren yapılar veya alt yapının tek bir elde yoğunlaştığı sistemlerde ‘insan faktörü’nün en zayıf halka haline geldiğini belirten Egorov, “DeFi tasarımının temel amacı, insan merkezli hata noktalarını azaltmak” diyerek ‘tam otomasyon’ idealine yeniden dikkat çekiyor. Bu açıdan bakıldığında, ‘acil durum butonu’ gibi araçlar ‘güvenlik’ ile ‘sansüre dayanıklılık’ arasında ince bir çizgide konumlanıyor. yorum: Burada asıl tartışma, güvenlik için ne kadar merkezileşmenin tolere edileceği ve bunun DeFi’in ruhuyla ne kadar uyumlu olduğu.

Öte yandan Standard Chartered, Kelp saldırısını DeFi’nin ‘çöküşü’ değil, ‘büyüme sancısı’ olarak yorumladı. Banka, 18’inde gerçekleşen saldırı sonrası oluşan sistemik baskının Aave(AAVE)’ye kadar yayıldığını kabul ediyor, ancak 300 milyon doların üzerinde fon yöneten DeFi United, Aave V4 ve Ethereum Ekonomik Bölgesi(Ethereum Economic Zone) gibi yeni yapısal adımların ‘savunma kapasitesini’ artırabileceğini düşünüyor. Bankaya göre tekrarlanan saldırılar, DeFi’nin artık basit bir ‘kodsuz mitoloji’ ile açıklanamayacak kadar karmaşık bir aşamaya geçtiğini ve ‘güvenlik paradigmasının’ hem teknik hem yönetişim tarafında yeniden tanımlanmak zorunda olduğunu gösteriyor.

Sonuç olarak, ‘DeFi(DeFi)’ kavramı bugün hem içeriden hem dışarıdan yeniden tartışılıyor. Cronje gibi isimler, ‘tam otomatik, dokunulmaz protokol’ anlatısının yerini, ‘iş modeli olan, yöneten ekibi bulunan ve acil durum freni taşıyan platformlar’a bıraktığını savunuyor. Bir yanda ‘kullanıcı varlık güvenliği’, diğer yanda ‘merkeziyetsizlik ilkesi’ dururken, DeFi ekosistemi artık yalnızca ‘akıllı sözleşme’ değil, ‘operasyonel güvenlik’ ve ‘insan faktörü’ üzerinden de yeniden şekilleniyor.