Haberler 
Coin Bilgisi 
Hakkımızda 
이더리움(ETH) tabanlı bir DeFi likidite havuzunda yaklaşık 200 bin dolar buharlaştı. Klasik bir ‘hack’ değil, ödül mekanizmasındaki tasarım açığını hedef alan ve aynı havuzdan tekrar tekrar teşvik çekmeye dayanan ‘tekrarlı madencilik’ taktiği kullanıldı. ‘DeFi güvenliği’, ‘ödül yapısı’ ve ‘yapay zeka destekli saldırılar’ tartışması bu olayla yeniden alevlendi.
Güvenlik şirketi ExVul’ün aktardığına göre saldırgan, Uniswap V3 üzerinden WUSD.fi ve GLOVE için kurgulanan teşvik yapısındaki zayıf noktayı kullandı. Saldırı sırasında fonlar farklı cüzdanlar arasında dolaştırıldı ve her turda yeni ‘ödül’ alınarak toplam kayıp büyütüldü. Böylece protokolün çekirdek kodunu doğrudan kırmak yerine, tasarımın içindeki ‘boşluk’ sömürüldü. Aynı dönemde Uniswap’ı taklit eden Google reklamları üzerinden yapılan *phishing* saldırılarında da kullanıcıların en az 400 bin dolar kaybettiği vakalar rapor edildi. ‘Protokol açığı’ ve ‘sosyal mühendislik’ bir araya gelince, DeFi tarafında risk algısı yeniden yükseldi.
Bu atmosferde OpenZeppelin kurucusu Manuel Araoz(Manuel Aráoz), artık ‘tüm’ DeFi protokollerini güvensiz kabul ettiğini açıkça dile getirdi. Araoz’a göre savunma tarafı her potansiyel açığı kapatmak zorunda. Buna karşılık saldırganların tek bir zayıf nokta bulması, sistemden ciddi miktarda para çekmesi için yeterli. ‘Blokzincir güvenliğinde asimetrik mücadele’ yorumu tam da bu duruma işaret ediyor. *yorum* Buradaki asıl sorun, büyüyen sermaye ve karmaşıklaşan tasarımlara rağmen güvenlik tarafındaki ilerlemenin aynı hızda gitmemesi. *yorum*
Araoz, bu dengesizliğin büyümesinde yapay zeka tabanlı kodlama araçlarının rolüne dikkat çekti. Ona göre bu araçlar, akıllı sözleşmelerdeki hataları ve tahmin edilmemiş etkileşimleri taramayı saldırganlar açısından çok daha hızlı ve ucuz hale getiriyor. Siber güvenlik dünyasında da benzer kaygı var: AI ile oltalama (phishing) altyapısı kurmak, otomatik zafiyet taraması yapmak ve karmaşık saldırı senaryolarını simüle etmek artık geçmişe kıyasla çok daha kısa sürüyor. Araoz’un yakın çevresine Aave(AAVE), MakerDAO ve Compound gibi büyük DeFi protokollerinden fonlarını çekmelerini tavsiye ettiği konuşuluyor. Bu, ‘büyük ve yerleşik’ projelerin bile sürekli ve derinlemesine denetim olmadan tam anlamıyla güvenli sayılamayacağı mesajı olarak okunuyor.
Sorunun diğer boyutu DeFi protokollerinin giderek karmaşıklaşması. Birçok proje artık köprüler, borç verme-alma modülleri, staking mekanizmaları ve otomatik ödül sözleşmelerini katman katman birleştiren yapılar kuruyor. Kullanıcı açısından bu, daha fazla ürün ve getiri anlamına gelirken; güvenlik açısından ‘korunması gereken yüzey alanı’nın ciddi biçimde genişlemesi demek. OpenZeppelin, ERC-2771 ile Multicall standartlarının birlikte kullanıldığı senaryolarda öngörülmeyen açıklar oluşabileceği konusunda daha önce uyarıda bulunmuştu. Pek çok büyük protokol bağımsız denetimler, bug bounty programları ve biçimsel doğrulama araçlarına milyonlarca dolar harcıyor. Ancak kullanıcıları hedef alan *phishing* saldırıları ve ödül mekanizmasını manipüle etmeye yönelik daha sofistike taktikler henüz tam anlamıyla bertaraf edilebilmiş değil.
Son yaşananlar, Ethereum(ETH) ekosisteminde ‘güvenlik yarışı’nın yeni bir eşiğe girdiğini gösteriyor. Bir yanda AI destekli, otomasyon seviyesi yüksek saldırı araçları; diğer yanda sınırlı insan kaynağı ve bütçeyle bu saldırılara yetişmeye çalışan geliştirme ekipleri var. Özellikle orta ve küçük ölçekli DeFi projelerinin, yapay zeka ile güçlenen bu yeni saldırı dalgasına karşı daha kırılgan kalabileceği vurgulanıyor. ‘DeFi güvenliği’, ‘ödül tasarımı’ ve ‘AI tabanlı siber tehditler’ başlıklarının bundan sonra hem geliştiriciler hem de yatırımcılar için ana gündem maddelerinden biri olacağı anlaşılıyor.
Yorum 0