Merkeziyetsiz finans yıllarca “kod kanundur” yaklaşımını vurgularken, akıllı sözleşmelerin insan hatalarını ortadan kaldıracağı düşünülüyordu. Ancak geçtiğimiz ay gerçekleşen ve 293 milyon dolar kayba yol açan KelpDAO saldırısı, kripto altyapı geliştiricileri için yeni bir gerçeği ortaya koydu: Sektördeki en büyük riskler artık çoğu zaman akıllı sözleşme hatalarından değil, teknolojik altyapının çevresindeki karmaşık insan ve sistem hatalarından kaynaklanıyor.
Kritik riskler: Köprüler ve yönetim sistemleri
KelpDAO saldırısı, LayerZero tabanlı bir köprünün zafiyetinden yararlanılarak gerçekleştirildi. Olay, DeFi protokollerinin ve güvenlik araştırmacılarının dikkatini kod hatalarından ziyade altyapıdaki zayıf halkalara çevirdi. Artık birçok yeni kaybın, doğrudan koddan çok; köprüler, yönetim sistemleri, bulut servisleri ve ekipler arası bağlantılardan doğduğu görülüyor.
Saldırıya ilişkin CoinDesk’e konuşan Lido Labs Foundation teknik sorumlusu Eugene Mamin, çoğu sözleşmenin programcılarının istediği şekilde çalıştığını; fakat ilgili kişiler aslında yetkili olmayan kişiler olduğunda sistemin savunmasız kaldığını belirtti.
“Çoğu durumda kontratlar tam da programcılarının yaptığı şeyi yaptı. Ancak programcılar gerçek yetkililer değildi.”
Phoenix Labs Üst Yöneticisi Sam MacPherson ise artık en büyük kayıpların, operasyonel güvenlikteki açıklar yüzünden yaşandığına dikkat çekti.
“Uzun zamandır tüm saldırılar kötü operasyonel güvenlikten kaynaklanıyor,” dedi.
Büyüyen altyapının yarattığı yeni tehditler
DeFi ekosistemi büyüdükçe, protokoller arasındaki karşılıklı bağımlılık artıyor. Protokoller köprülere, köprüler doğrulayıcılara ve iletim sistemlerine, yönetişim mekanizmaları ise çoklu imza altyapısına ve bulut sistemlerine güveniyor. Her yeni katman ise potansiyel bir risk noktası yaratıyor.
Mamin, başka bir altyapı kullanıldığında o sistemin risklerinin de otomatik olarak devralındığını dile getirdi. KelpDAO saldırısı ise paylaşılan köprü altyapısındaki bir açığın, bu altyapı üzerinde çalışan diğer protokol ve uygulamalara da zarar verdiğini gösterdi.
“Piyasadaki konsantrasyon, bir noktadan sonra sistemik bir riske dönüşebiliyor. Eğer çok fazla aktör aynı altyapıya bağımlı hale gelirse, sorunlar izole kalmak yerine yayılmaya başlıyor.”
Son yıllarda hızla artan bu kayıplar, endüstride karmaşıklığın bir güvenlik tehditine dönüştüğünü ortaya koydu.
Kullanıcı tercihleri ve yeni güvenlik anlayışı
Bu gelişmeler yatırımcı tercihlerine de yansıyor. Mamin’e göre büyük sermayeler artık uzun süredir istikrarlı çalışan ve tahmin edilebilir protokollere yöneliyor. MacPherson ise artık piyasada, risk yönetimini öne çıkaran sistemlerin ödüllendirildiğini; kullanıcıların konservatif borç verme ve daha basit teminat yapıları sunan protokollere geçtiğini belirtti.
KelpDAO olayı ayrıca DeFi’daki birçok saldırı vektörünün artık geleneksel siber güvenlik sorunlarına benzediğini de ortaya çıkardı. Altyapıda kullanılan bilgisayarlar, SaaS platformları ve anahtar yönetim sistemlerinde ciddi güvenlik açıkları oluşabiliyor.
“Saldırı yüzeyi, küçülmek yerine tekrar internetin köklerine döndü,” dedi Mamin.
Bu durum, zincir üstü şeffaflığa rağmen, altyapının dışarıdan denetlenmesinin zor ve kapalı kalmasını da beraberinde getiriyor.
Her şeye rağmen, sektör liderleri yaşananların DeFi’ın tamamen işlevsizliğini göstermediğini düşünüyor. Tam tersine, şeffaflık ve risklerin açıkça görülebilmesi DeFi’ın ayırt edici yönlerinden biri olarak gösteriliyor. Yönetici Sam MacPherson, gerçek zamanlı likidite ve teminatların zincir üstünde izlenebildiğine işaret ederek gerçek sorunun, bu şeffaflığı olgun risk yönetimiyle birleştirmekte olduğunu savundu.
