Haberler 
Coin Bilgisi 
Hakkımızda 
İnternet’teki orijinal kaynağa doğrudan erişemediğim için, paylaştığınız Korece metni esas alarak Türkçe bir *haber metni* olarak yeniden yazdım. Aşağıda, talep ettiğiniz kılavuza uygun biçimde düzenlenmiş versiyonu yer alıyor.
---
Yapay zeka(AI), DeFi(DeFi) hack saldırılarının çehresini değiştiriyor. Saldırıların maliyeti düşerken hızı artıyor ve milyonlarca dolarlık fonların çalınma riski somut bir tehdit haline geliyor.
Güvenlik sektörüne göre saldırganlar, ChatGPT ve Claude gibi büyük dil modelleri(LLM) sayesinde binlerce satırlık akıllı sözleşme kodunu çok kısa sürede analiz edip zafiyetleri tespit edebiliyor. Özellikle bakımı durdurulmuş ya da yıllar önce yazılmış ‘eski (legacy) sözleşmeler’ yeni dönemin başlıca hedefi haline gelmiş durumda.
Blokzincir güvenlik şirketi Halborn’dan Gaby Urrutia, “AI, yeni açıklar icat etmeye bile ihtiyaç duymuyor; var olan sorunları çok daha hızlı ve büyük ölçekte bulabilmesi tek başına yeterli bir tehdit” diyerek, ‘eski kod’ ve ‘sahipsiz bırakılmış DeFi varlıklarının’ yoğun biçimde hedef alındığını belirtiyor.
Bu tablo, yapay zeka sektörüne yönelen dev yatırımlarla paralel ilerliyor. OpenAI, Anthropic, xAI gibi şirketlere milyarlarca dolar akarken, ‘teknoloji atılımı’ hızlanıyor ve bunun yan etkileri DeFi ekosisteminde hissedilmeye başlıyor.
Sorun şu ki, ‘savunma, saldırı kadar hızlı gelişmiyor’. Yaklaşık 130 milyar dolarlık DeFi pazarında güvenlik şirketleri daha yeni AI tabanlı araçları devreye almaya başlarken, saldırganların bu teknolojileri çoktan aktif şekilde kullandığına dair analizler öne çıkıyor.
Firepan’ın kurucu ortaklarından Gerrit Hall, “AI kodlama ajanlarındaki sıçrama nedeniyle mevcut DeFi ortamı aşırı derecede riskli hale geldi” diyerek, ‘saldırı kapasitesinin savunma teknolojilerinden çok daha hızlı geliştiğini’ vurguluyor.
AI ile değişen saldırı ekonomisi
Geçmişte, kod zafiyetlerini detaylı incelemek hem zaman hem de ciddi uzmanlık gerektiriyordu. Bu yüzden saldırganlar genellikle yalnızca çok yüksek tutarlı fonların kilitli olduğu projeleri hedef alıyordu. Yapay zekanın tekrar eden analitik işleri otomatikleştirmesiyle bu denklem bozuldu.
Artık birkaç yüz dolarlık küçük açıklar bile ‘ekonomik’ hale geliyor. AI, analiz maliyetini dramatik biçimde düşürdüğü için, ‘yüksek hacimli, düşük tutarlı’ saldırılar mantıklı bir iş modeline dönüşüyor.
Anthropic’in yürüttüğü bir çalışmaya göre AI ajanları, geçmişte gerçekten hack’lenmiş 405 akıllı sözleşmenin yüzde 63’ünü yeniden sömürmeyi başardı. Teorik olarak bu, yaklaşık 4,6 milyon dolar (yaklaşık 69 milyar won) tutarında fonun yeniden çekilebileceği anlamına geliyor.
Çalışmada ayrıca son dönemde dağıtılmış 2.849 sözleşme incelendi. AI, daha önce kayda geçmemiş 2 yeni zafiyet tespit etti ve bu sayede yaklaşık 3.694 dolar (yaklaşık 5,56 milyon won) tutarında potansiyel kazanç ortaya koydu. Bu analiz sürecinin maliyeti ise 3.476 dolar civarında kaldı. Bu tablo, ‘tamamen otomatikleştirilmiş bir hack gelir modeli’nin artık teoriden pratiğe geçebileceğini gösteriyor.
AI tabanlı saldırılar çoktan başladı
Güvenlik uzmanları, gerçek saldırı verilerinde de AI kullanımına işaret eden belirgin işaretler gördüklerini söylüyor. Haccon’dan Stephen Azai, “Aynı anda pek çok sözleşmede, birbirinin kopyası gibi görünen tekrar eden saldırı kalıpları, otomatik AI keşif süreçlerinin tipik bir göstergesi” yorumunu yapıyor.
Özellikle kısa süre içinde binlerce akıllı sözleşmenin tarandığı vakalar artıyor. İnsan gücüyle bu hacimde, bu hızda tarama yapmak neredeyse imkânsız.
Yakın zamanda yaşanan ve yaklaşık 26 milyon dolar (yaklaşık 391 milyar won) zarara yol açan Truebit saldırısında da AI kullanılmış olabileceği konuşuluyor. Bu saldırıda 5 yıldan eski, güncellenmeyen bir kod parçasındaki fiyat hesaplama hatası istismar edildi. Uzmanlara göre bu tür ‘eski ve görece basit ama gömülü mantık hataları’, AI araçlarının en kolay tespit ettiği açıklar arasında.
‘Bir kere denetim’ devri bitti
Uzmanlar, DeFi güvenliğinde ölçütlerin kökten değişmesi gerektiğine dikkat çekiyor. Akıllı sözleşmelerin yalnızca yayına girmeden önce bir kez denetlenmesi artık ‘yeterli güvenlik’ anlamına gelmiyor.
Urrutia, “‘Bir kere denetim yaptırdık’ anlayışı geçerliliğini yitirdi” diyerek, saldırganların eski kodları sürekli yeniden taradığı bir ortamda, ‘yıllar önce kapatıldığı sanılan risklerin bile tekrar canlanabileceğine’ işaret ediyor.
Bu nedenle *AI tabanlı sürekli izleme* ön plana çıkıyor. Saldırganların kullandığıyla aynı tür AI araçlarını savunma tarafına taşıyan, gerçek zamanlı zafiyet tespiti yapan ‘otomatikleştirilmiş düşmanca testler’in önümüzdeki dönemde standart haline gelmesi bekleniyor.
Şimdiden somut sonuçlar da gelmeye başladı. Octane Security, kısa süre önce AI tabanlı araçlar kullanarak Ethereum(ETH) yürütme istemcisi Nethermind’de kritik bir hata buldu ve bu hata, yaygın bir güvenlik açığına dönüşmeden önce giderildi.
Buna karşın önemli eksikler de sürüyor. Saldırılarda AI kullanılıp kullanılmadığını anlamaya yarayacak ayrıntılı loglama sistemleri ve denetim standartları henüz yeterince olgunlaşmış değil. Bu da ‘savunma tarafının’ hala dezavantajlı konumda olduğunu gösteriyor.
Sonuç olarak DeFi ekosistemi giderek netleşen bir ‘AI vs AI’ rekabetine sürükleniyor. Önümüzdeki birkaç yıl, ‘merkeziyetsiz finansın gerçekten bu baskıya dayanıp dayanamayacağının’ test edildiği bir dönem olacak.
Yorum 0