Son iki haftada merkeziyetsiz finans sektöründe tarihin en büyük kayıplarından biri yaşandı. Kelp DAO’nun restaked-ether köprüsünden hafta sonunda gerçekleşen 292 milyon dolarlık siber saldırı, Nisan ayındaki toplam DeFi kayıplarını 580 milyon doların üstüne taşıdı. 1 Nisan’da Drift Protocol’de görülen 285 milyon dolarlık başka bir açıkla birleştiğinde, bu hacimdeki saldırılar piyasada panik etkisi yarattı. Saldırıların hemen ardından Aave platformundan 6 milyar dolardan fazla varlık çekildi; birçok kullanıcı fonlarını korumak amacıyla hızlıca sistemden çıkış yaptı ve AAVE tokenı hafta sonunda %18’den fazla değer kaybetti.
Aave, Kelp DAO ve sektörün tepkisi
Aave, Ethereum tabanlı en büyük borç verme ve alma protokollerinden biri olarak biliniyor ve platformun kurucusu Stani Kulechov, saldırının Aave’nin akıllı sözleşmelerini doğrudan etkilemediğini belirtti. Buna karşın, sistemi sarsan asıl risk, teminat olarak kabul edilen rsETH’nin destek mekanizmasının Aave’nin dışında kalan bir köprüde çökmesi oldu. Olayın ardından, yaklaşık 196 milyon dolarlık batık borç Aave üzerinde kaldı. SparkLend, Fluid ve Lido’nun earnETH hizmeti gibi çeşitli platformlar ise risklerini minimize etmek için rsETH bağlantılı işlemleri geçici olarak durdurdu veya yeni yatırımları askıya aldı.
Yaşanan bu siber saldırı, blokzincir güvenliğinin yapı taşlarından biri olan çapraz zincir doğrulama sistemlerindeki bir yapılandırma seçiminin istismar edildiğini açığa çıkardı. Saldırganlar, LayerZero mesajlaşma katmanını manipüle ederek gerçek olmayan bir talimatı sistemden geçirdi ve Ethereum üzerinde 116.500 rsETH’nin üretilmesini sağladı. Güvenlik uzmanlarına göre, merkeziyetsiz yapıdaki platformlar, bireysel projelerin kendi doğrulama ağlarını seçmelerine olanak tanıdığı için, yanlış yapılandırılmış her ayar sistemde zincirleme etkilere yol açabiliyor.
“Birden fazla akıllı sözleşmeye ardı ardına yapılan benzer saldırı denemeleri, başta yapay zekâ destekli, otomatikleştirilmiş kod analizleri sayesinde saldırı yüzeyini hızla genişletiyor,” bilgisini, blokzincir güvenlik şirketi Hacken’in denetim ekibi lideri Stephen Ajayi aktarıyor.
Yapay zekâ destekli saldırılar ve sektörün açmazı
Kısa süre öncesine kadar, DeFi’ye yönelik büyük ölçekli saldırıların temel korkusu otomasyonun bir gün sisteme hâkim olmasıydı. Fakat sektör uzmanları, günümüzde saldırganların otomasyonu çoktan devreye aldığını vurguluyor. Anthropic tarafından geçen yılın sonunda yayımlanan araştırmaya göre, Claude Opus 4.5, Claude Sonnet 4.5 ve OpenAI’nin GPT-5 isimli üst düzey yapay zekâ modelleri, 2020-2025 arası istismar edilen 405 akıllı sözleşme üzerinde test edildi ve toplamda 4,6 milyon dolarlık faal saldırı senaryoları geliştirdi. Aynı modeller, yeni piyasaya sürülmüş 2.849 kontratta mevcut açıkları analiz ederek, düşük maliyetle özgün açıklar bulmayı da başardı.
Başta Cecuro olmak üzere, farklı yapay zekâ güvenlik şirketlerinin testlerinde, DeFi protokollerinde kullanılan akıllı kontratların %92’sinde özel olarak eğitilmiş güvenlik ajanlarının açık tespit edebildiği ortaya çıktı; bu oran standart kodlayıcı ajanlarda %34’te kaldı. Bugün bir akıllı kontrat için yapay zekâ ile güvenlik taramasının ortalama maliyeti sadece 1,22 dolar seviyesinde. Araştırmalar, istismar gücünün yaklaşık 1,3 ayda bir iki katına çıktığını gösteriyor.
Sektörün güvenlik açığı büyüyor
Yaşanan saldırıların sektörün genel sigorta kapasitesine etkisi de dikkat çekici. Zincir üstü sigorta piyasası hâlen yalnızca yüz milyonlarca dolarlık bir büyüklüğe sahipken, DeFi sektöründeki toplam kilitli değer 100 milyar dolar civarında. Akıllı sözleşme denetimleri, dağıtım hızına yetişemiyor ve her yeni entegrasyon yeni güvenlik riskleri oluşturuyor. Avrupa Birliği başta olmak üzere düzenleyici kuruluşlar, şeffaflık ve açıklama zorunluluğu getirmek için çalışıyor fakat yüksek varlık tutulan protokoller için kesintisiz denetim veya gerçek zamanlı saldırı simülasyonu zorunluluğu getiren yasal bir düzenleme mevcut değil.
Aynı zamanda, Anthropic’in yeni tanıttığı fakat henüz kamuya sunulmayan Claude Mythos Preview modeli, başlıca işletim sistemleri ve tarayıcılarda binlerce yeni açık keşfetti. Bu model, DeFi projelerinin tamamında makine hızıyla okuma ve analiz yapabiliyor. Anthropic, söz konusu modelin kamuya açılmasının sektörde saldırgan/savunmacı dengesini radikal biçimde bozacağı görüşünde. Halihazırda, birçok geliştirici ve sektör lideri; her yeni entegrasyonun yeni bir saldırı yüzeyi olabileceğini, sürekli saldırı testi yapılması gerektiğini ve sistemde risk kabul noktalarının bölümlenmesinin önemini vurguluyor.
Kelp DAO saldırılarının yarattığı boşluğun nasıl doldurulacağı belirsizliğini koruyor. Çalınan ether’in bir kısmının geri dönebileceği düşünülse de, DeFi dünyasında saldırıların ve savunma imkânlarının maliyet eğrisinin hızla değiştiği görülüyor. Artık etkili bir saldırı için büyük ekipler ve altı haneli bütçeler gerekmiyor; birkaç yüz dolarlık işlemlerle, hedef belirleyen bir yapay zekâ saldırganı DeFi protokollerini hızla tehdit edebiliyor.
