Merkeziyetsiz finans (DeFi) alanında yaşanan güvenlik açıkları, kurumsal yatırımcıların bu sektöre olan ilgisini azaltıyor. Buna rağmen, stabilcoin’ler ve varlıkların dijitalleştirilmesiyle kripto benimsemesinin genel olarak sürdüğü gözlemleniyor. JPMorgan analistleri nisan ayında yayımladıkları araştırma notunda, özellikle köprü güvenliğinin sektörde çözülemeyen bir sorun olmaya devam ettiğini vurguladı. Analize göre kurumsal yatırımcıların DeFi’ye daha fazla yönelip yönelmeyecekleri konusu hâlâ belirsizliğini koruyor.
2026’da üst üste saldırılar: Kayıplar büyüyor
Son dönemde Versus-Ethereum köprüsünde yaşanan açık, 2026 yılı başından bu yana DeFi köprülerine düzenlenen sekizinci büyük saldırı oldu. Söz konusu saldırıların toplam kaybı ise 328,6 milyon dolara ulaştı. Bu köprüler, milyonlarca dolar değerinde fon taşıdıkları için siber saldırganların öncelikli hedefleri olmaya devam ediyor.
Mini sözlük: DeFi köprüsü, farklı blokzincir ağları arasında varlık transferi sağlayan özel akıllı sözleşmelerdir. Bu köprüler, zincirler arası likiditeyi kolaylaştırır ancak karmaşık yapıları nedeniyle siber saldırılara karşı savunmasız olabilirler.
Nisan ayında ortaya çıkan Drift Protocol saldırısında, Kuzey Kore bağlantılı Lazarus Group’un 285 milyon doları ele geçirdiği tespit edildi. Benzer şekilde KelpDAO protokolündeki köprü üzerinden de yaklaşık 290 milyon dolarlık ciddi bir kayıp yaşandı.
| Saldırı Yılı | Protokol | Zarar (Milyon $) |
|---|---|---|
| 2026 | Versus-Ethereum | 328,6 |
| 2026 | Drift Protocol | 285 |
| 2026 | KelpDAO | 290 |
KelpDAO saldırısının ardından DeFi üzerinde kilitli toplam varlık miktarı yalnızca iki gün içinde 100 milyar dolardan 86 milyar dolara geriledi. JPMorgan analistlerine göre bu çıkışlar doğrudan saldırıya uğramayan pozisyonlar ve havuzlardan da gerçekleşti. DefiLlama verileri ise saldırı sonrası 14 milyar dolarlık bir sermaye çıkışı yaşandığını gösterdi.
Karmaşık risk ortamı: Geleneksel finans yaklaşımı
Akıllı sözleşme güvenliği şirketi Statemind’in CEO’su ve DeFi protokolü Symbiotic’in kurucularından Misha Putiatin, büyük kurumsal yatırımcıların DeFi ile ilgili sıkça bilgi almak istediğini aktardı. Fakat Putiatin, saldırıların bu görüşmelerin hemen öncesinde sıkça yaşandığına dikkat çekti. Kendisinin ifadesiyle, geleneksel kurumsal yatırımcılar açısından bu tür güvenlik açıkları ciddi bir tereddüt kaynağı.
Putiatin, DeFi’de karmaşıklığın arttığına ve kullanıcıların riskleri tam olarak tespit etmesinin neredeyse imkansız hale geldiğine işaret ederek “Eskiden ‘kendi araştırmanı yap’ sözü işe yararken, artık ağların ve akıllı kontratların iç içe geçtiği bu ortamda bunun mümkün olmadığını” söyledi.
Günümüz DeFi protokolleri, on binlerce satırlık kod ve hızla yayılan yeni hizmetlerle oldukça karmaşık bir yapı barındırıyor. Putiatin, bu koşullarda yatırımcıların DeFi’nin sunduğu getiriyle risklerini ölçmekte zorlandığını belirtti.
Getiriler aşağı çekiliyor, risk primleri küçülüyor
Yıldan yıla artan saldırılara rağmen, DeFi getiri oranlarında ciddi bir daralma görüldü. Tether (USDT) Aave platformunda %2,74 oranında yıllık getiri sunarken, ABD devlet tahvilleri kısa vadede %3,57’ye ulaşabiliyor. Circle’ın USD Coin (USDC) ise %4,14 getiri oranıyla öne çıkıyor. Bu veriler, DeFi risklerinin karşılığında sağlanan getiri farkının hızla eridiğini gösteriyor.
| Varlık | DeFi Geliri (APY, %) | ABD Hazine T. (3 ay, %) |
|---|---|---|
| Tether (USDT, Aave) | 2,74 | 3,57 |
| USD Coin (USDC, Aave) | 4,14 | 3,57 |
Putiatin, kurumsal yatırımcıların risk getiri dengesini kolayca ölçemediğini ve bu nedenle sunulan yıllık getirileri yüksek oranda “iskonto ettiklerini” dile getirdi. Sektör olgunlaştıkça yüksek getiri fırsatlarının azalması, özellikle aktüeryal hesaplamalarla risk yöneten kurumlar için DeFi’yi daha az cazip hale getiriyor.
Sektörde sigorta ihtiyacı ve gelecekteki yol ayrımı
Putiatin, DeFi’nin gerçek anlamda güven kazanabilmesi için zincir üstü sigorta sistemlerinin devreye alınmasının şart olduğunu belirtti. Ona göre, köprülerde devre kesici uygulamalar, sektör standartlarına uygun denetçiler ve sistematik risk takibi kurumların talep ettiği güven ortamını sağlayabilir. Ancak günümüzde var olan DeFi sigorta şirketlerinin kapasitesi kurumsal ölçekteki kayıpları karşılamak için yetersiz kalıyor.
Putiatin, mevcut durumda kurumsal yatırımcıların sektöre yalnızca sıkı kimlik doğrulama, saklama hizmetleri ve gerektiğinde dondurulabilen token şartlarıyla girebileceğini ifade etti. Bu ise DeFi’nin anlamını yitirmesine ve blokzincirin salt bir veritabanına dönüşmesine yol açabilir.
DefiLlama’ya göre, bugüne kadar gerçekleşen saldırıların toplam zararı 7,76 milyar doları aştı. Uzmanlara göre, yeterli koruma ve sigorta altyapısı kurulmadan kurumsal aktörlerin katılımı sınırlı ve katı kurallara tabi olmaya devam edecek.
