Kodlama alanında uzmanlaşmış bir isim olan Manuel Aráoz, yapay zekâ destekli kodlama araçlarının güvenlik açıklarını tespit etmede “insanüstü” bir seviyeye ulaştığını belirterek, merkeziyetsiz finans (DeFi) ekosisteminin artık güvenli olmadığını savundu. Bu görüş, sektörün ciddi baskı altında olduğu bir dönemde gündeme geldi. DeFi, bu yıl toplam kilitli değerde (TVL) 20 milyar doların üzerinde kayıp yaşarken, son 12 ayda gerçekleşen saldırılarda 1,1 milyar dolardan fazla varlık çalındı.
Tartışmanın odağında riskin gerçekliği değil, boyutu yer alıyor. Sektördeki ayrışma, yapay zekânın güvenlik açısından önemini inkâr etmekten ziyade, tehdidin DeFi’yi savunulamaz hâle getirip getirmediği noktasında yoğunlaşıyor. OpenZeppelin, Aráoz’un görüşlerinin şirketi temsil etmediğini belirterek, yapay zekânın yönetilebilir bir tehdit vektörü olduğunu vurguladı. Yine de yatırımcılar, bu tartışmanın kesin bir sonuca bağlanmasını beklemeden pozisyon alıyor.
Son dönemdeki saldırılar, zincir üstü fon akışlarına da yansıyor. Yalnızca nisan ayında yaklaşık 630 milyon dolar çalındı ve saldırılar mayıs ayında da devam etti. Aráoz, yakın çevresine ve ailesine, köklü borç verme protokolleri de dahil olmak üzere tüm DeFi pozisyonlarından çıkmalarını tavsiye ettiğini açıkladı. Bu nedenle piyasa, yaşananları tek günlük bir gelişmeden öteye taşıyor.
Temel sorun, saldırı ve savunma arasındaki asimetri. Aráoz, akıllı sözleşme güvenliğinin yapısal olarak dengesiz olduğunu, savunucuların tüm açıkları kapatmak zorunda olduğunu, saldırganların ise yalnızca tek bir zafiyetten yararlanarak fonları ele geçirebildiğini savunuyor. Bu durum, yatırımcıların yalnızca son büyük saldırıya değil, saldırıların sıklığına ve kontrol altına alınmasına odaklanmasını açıklıyor.
Tekrarlayan saldırılar, piyasanın risk fiyatlamasını değiştiriyor. 285 milyon dolarlık Drift saldırısı ve Kelp DAO vakasının ardından, sorun artık münferit bir hata olarak görülmüyor. Son dönemde art arda yaşanan olaylar, denetim, izleme ve yamalama süreçlerinin sürekli fon kayıplarına karşı yeterli olup olamayacağı tartışmasını gündeme taşıyor. Saldırıların kümelenmesi, piyasada kalıcı bir güvenlik risk primi oluşmasına yol açıyor.
Savunma tarafında ise amaç, saldırıları tamamen engellemek değil, daha zor hâle getirmek. OpenZeppelin’in karşı argümanı, tehdidi küçümsemiyor; yapay zekânın gerçek bir risk oluşturduğunu, ancak daha iyi güvenlik önlemleriyle bunun yönetilebileceğini savunuyor. Yatırımcılar için bu yaklaşım daha işlevsel: Savunmanın kusursuz olması gerekmiyor, araçların, süreçlerin ve müdahale hızının geliştirilmesiyle saldırıların maliyeti ve zorluğu artırılabiliyor.
Pozisyonlanmada marka yerine kayıp maliyeti öne çıkmalı. Aráoz, Aave, MakerDAO ve Compound gibi önde gelen protokollerden çıkış tavsiyesi verdiğini belirtti. Ancak yatırımcılar için bu yaklaşım fazla genel kalıyor. Daha pratik bir yöntem, portföyleri kayıp maliyetine göre ayırmak: Hangi varlıklar en fazla TVL riskine, köprü karmaşıklığına, denetim kapsamına ve olay müdahale riskine sahip?
Temel protokoller, hâlâ çevredeki kırılgan katmanlardan ayrışıyor. OpenZeppelin, zincir üstünde 35 trilyon doların üzerinde değerin güvenliğini sağladığını ve birçok DeFi protokolü tarafından kullanılan kütüphaneleri sürdürdüğünü belirtiyor. Bu, hiçbir protokolü tamamen güvenli yapmasa da, köklü ana protokollerde savunma katmanının daha güçlü olduğuna işaret ediyor.
Bu nedenle, yeni borç verme platformları, zincirler arası köprüler, toplayıcılar ve getiri paketleyiciler gibi daha deneysel katmanlarda daha temkinli olmak gerekiyor. Bu katmanlar, entegrasyon noktalarını artırıyor ve saldırıların çoğu da bu entegrasyonlarda ortaya çıkıyor.
Risk fiyatlamasında iyileşme için en net sinyal, arka arkaya gelen saldırıların azalması ve hızlı kontrol altına alınması olacak. Bu göstergelerde iyileşme sağlanırsa, sektör temel tezini kaybetmek yerine, güvenlik risk primini azaltma yoluna gidebilir.
Bu içerik hazırlanırken faydalanılan kaynaklar: ainvest.com
