Merkeziyetsiz finans (DeFi) ekosisteminin erken dönem güvenlik uzmanlarından biri olan Manuel Aráoz’un uyarısı, son dönemde yaşanan siber saldırıların ardından sektörün yapay zekâ (AI) karşısındaki savunma kapasitesini tartışmaya açtı.
27 Mayıs’ta OpenZeppelin’in kurucu ortağı ve eski teknoloji direktörü Aráoz, yatırımcılara Aave, MakerDAO ve Compound gibi köklü borç verme protokollerine olan DeFi pozisyonlarından çıkmalarını tavsiye etti.
Aráoz’a göre, otonom AI kodlama ajanları, açıkları ölçekli şekilde tespit etmeyi kolaylaştırarak saldırganlarla savunucular arasındaki farkı büyütüyor. Aráoz, kodlama ajanlarının açık bulmada insanüstü bir performans sergilediğini ve akıllı sözleşme güvenliğinin son derece asimetrik olduğunu belirtti. Savunucuların her hatayı düzeltmesi gerekirken, saldırganların yalnızca tek bir açığı kullanarak fonları çalabildiğine dikkat çekti.
Bu uyarı, DeFi piyasasının baskı altında olduğu bir dönemde gündeme geldi. Son bir yılda sektördeki saldırılar nedeniyle 1,1 milyar doların üzerinde kayıp yaşanırken, sadece nisan ayında 28 ayrı saldırıda 635 milyon dolar zarar kaydedildi.
Bu güvenlik olayları, merkeziyetsiz finans genelinde toplam kilitli değerin (TVL) nisan ortasında yaklaşık 172 milyar dolardan, haberin yazıldığı an itibarıyla 148 milyar dolara gerilemesine yol açtı. Böylece beş hafta üst üste çıkış yaşandı. Düşüşte, Bitcoin’in bugün 72.000 dolara yaklaşmasıyla birlikte genel piyasa zayıflığı da etkili oldu.
Ancak bu rakamlar, güvenlik tartışmasını tekil protokollerin ötesine taşıyarak, AI’ın DeFi’ye yönelik saldırı maliyetini sektörün savunma kapasitesinden daha hızlı düşürüp düşürmediği sorusunu gündeme getiriyor.
Yapay Zekâ, Açık Aramayı Ucuzlatıyor
Aráoz’un uyarısı, yapay zekânın akıllı sözleşme açıklarını tespit etmek için gereken maliyet ve çabayı temelden azalttığı gerçeğine dayanıyor.
Son yıllarda gelişmiş AI modelleri, açık tespiti, saldırı testi ve operasyonel keşif süreçlerini neredeyse sıfır maliyetle hızlandırarak sektöre ciddi baskı oluşturdu.
Girişim sermayesi şirketi a16z’nin araştırmaları da AI ajanlarının, geçmiş DeFi saldırılarındaki temel açıkları tutarlı şekilde tespit ettiğini ortaya koyuyor. Şirkete göre, ajanlar bir saldırıyı tamamlayamasalar bile, saldırganlara başlangıç noktası sağlayan aşamaya sıklıkla ulaşabiliyor. Zayıf noktaları güvenilir şekilde tespit eden bir araç, saldırı başlatmak için gereken uzmanlık seviyesini düşürüyor.
Anthropic de benzer şekilde, henüz yayımlanmamış Claude Mythos modeline kamu erişimini, yazılım açıklarını otonom şekilde bulup silahlandırabilme kapasitesi nedeniyle kısıtladı.
DeFi açısından bu gelişme kritik; çünkü birçok protokolün sistemleri kamuya açık, birbiriyle entegre ve finansal olarak likit. Dolayısıyla, bir platformun kodu, yönetişim yapısı ve entegrasyonları açıkça incelenerek zafiyetler tespit edilebiliyor.
AI, bu süreci daha hızlı ve ucuz hale getirerek, savunmasını hâlâ denetim, ödül programları ve manuel incelemelere dayandıran ekipler üzerindeki baskıyı artırıyor.
Protokol Yöneticileri Güçlü Altyapıya Dikkat Çekiyor
Buna karşın, AI kaynaklı endişelere protokol kurucuları ve güvenlik şirketlerinden itirazlar geliyor. Sektör temsilcileri, DeFi’nin önceki döngülere kıyasla daha dayanıklı hale geldiğini savunuyor.
Blok zinciri güvenlik şirketi OpenZeppelin, son dönemdeki birçok güvenlik olayının, denetimden geçmiş akıllı sözleşme kodlarından ziyade operasyonel hatalardan kaynaklandığını belirtiyor. Şirkete göre, son aylardaki büyük kayıpların çoğu çalınan özel anahtarlar, köprü sahtekârlığı, sosyal mühendislik ve erişim kontrolü sorunlarıyla ilgili. Bu tablo, saldırganların çoğunlukla protokollerin çevresindeki sistemleri — ekipler, izinler ve altyapı — hedef aldığını gösteriyor.
Aave kurucusu Stani Kulechov da benzer bir görüşte. Kulechov, günümüzde DeFi altyapısının daha iyi risk motorları, borç verme piyasası yapıları, biçimsel doğrulama, denetimler, ödül programları, limit yönetimi, oracle iyileştirmeleri, otomatik izleme ve devre kesiciler gibi unsurlarla güçlendiğini vurguluyor.
Kulechov’a göre, kalan saldırı yüzeyinin büyük kısmı, zayıf iç kontroller ve altyapı süreçleri gibi Web2 tarzı operasyonel açıklarla ilgili.
Bu görüş, nisan ayındaki saldırı dalgasıyla da örtüşüyor. O dönemdeki en büyük kayıpların birçoğu, ele geçirilen anahtarlar, sosyal mühendislik ve köprü kaynaklı hatalara dayanıyordu. Örneğin, Drift Protocol’deki 285 milyon dolarlık kayıp, Kuzey Koreli Lazarus Grubu’nun altı ay süren sosyal mühendislik kampanyasına bağlanıyor.
Uniswap kurucusu Hayden Adams ise DeFi’nin genel olarak güvensiz hale geldiği yönündeki çıkarımlara karşı çıkıyor. Adams, iyi inşa edilmiş akıllı sözleşmelerin güçlü güvenlik özellikleriyle uygulamalara temel oluşturabileceğini, AI’ın ise zayıf kodları, aceleye getirilen lansmanları ve kötü geliştirme pratiklerini daha hızlı ortaya çıkaracağını savunuyor.
Bu ayrım, sektörün AI karşısındaki yanıtında merkezi bir noktaya dönüşmüş durumda. Tartışma, giderek daha fazla, hangi sistemlerin AI destekli saldırılara karşı yeterli kontrole sahip olduğu ve hangilerinin zayıf operasyonlar, karmaşık entegrasyonlar veya sınırlı izleme nedeniyle savunmasız kaldığı üzerine yoğunlaşıyor.
DeFi Ekipleri Savunmada AI’ı Kullanıyor
Kuruculardan gelen itirazlara rağmen, ekipler güvenlik yaklaşımlarını değiştirmeye başladı.
Agentik AI tabanlı bir alım-satım platformu olan Nansen, CryptoSlate’e yaptığı açıklamada, büyük protokollerin açık kaynak geliştirmeden vazgeçmek yerine savunma tarafında AI araçlarını benimsediğini belirtti.
Cyvers CEO’su Deddy Lavid de sektörün AI’a karşı AI tabanlı bir güvenlik ortamına yöneldiğini ifade ediyor. Bu alanda, kripto geliştiricileri aynı AI araçlarını saldırganlardan önce açıkları bulup ortadan kaldırmak için kullanıyor.
OpenZeppelin, yakın zamanda AI ajanlarının güncel ve denetlenmiş güvenlik kütüphaneleriyle akıllı sözleşme üretmesini sağlayan yeni araçlar geliştirdi. Amaç, ajanlar geliştiricilere yardımcı olurken eski eğitim verilerine veya güvensiz kod kalıplarına bağımlılığı azaltmak.
Uniswap da güvenli dağıtımları baştan itibaren kolaylaştırmak için AI entegreli bir geliştirici platformu başlattı.
Bu çabalar, AI ajanlarının yazılım açıklarını tespit edip silahlandırabileceği bir döneme hazırlık açısından önemli örnekler sunuyor.
En Hızlı Savunma: Saldırı Yayılımını Sınırlamak
AI destekli savunmaya yönelen DeFi, saldırıların tam protokol kaybına dönüşmesini yavaşlatma konusunda daha acil bir görevle karşı karşıya.
Cyvers’tan Lavid, büyük kullanıcı fonlarını yöneten protokoller için tek seferlik denetimlerin artık yeterli olmadığını belirtiyor. Savunucuların sürekli izleme, canlı işlem simülasyonu ve şüpheli davranış tespit edildiğinde işlemleri yavaşlatan veya durduran otomatik sistemlere ihtiyacı var.
Bazı protokoller bu önlemleri şimdiden uygulamaya başladı. Lavid, devre kesiciler, işlem izleme, çoklu imza kontrolleri ve çalışma zamanı korumalarının operasyonlara entegre edildiğini aktarıyor.
Bu sistemler, bir saldırı sırasında fonlar protokolden çıkmadan önce kayıpları sınırlayabiliyor veya olağandışı hareketlerde ekiplerin müdahale etmesi için zaman kazandırıyor.
Ancak bu yaklaşımın bir bedeli var. Devre kesiciler, çoklu imza kontrolleri ve acil duraklatmalar, bir olay sırasında kullanıcıları koruyabilirken, aynı zamanda açık erişim ve otomatik yürütme temelli sistemlere daha fazla insan takdiri ekliyor.
AI saldırıların hızını artırdıkça, DeFi’nin kullanıcı güvenini korumak için daha fazla savunma önlemi benimsemesi gerekebilir.
Zarar Sınırını Küçültmek
Huma Finance’in kurucu ortağı Richard Liu, sektörün her potansiyel hatayı ortadan kaldırmaya çalışmak yerine, hata gerçekleştiğinde zararı sınırlamaya odaklanması gerektiğini savunuyor.
Liu, mevcut durumu dijital ticaretin ilk dönemlerine benzetiyor. O dönemde kredi kartı ağları, dolandırıcılık devam etse de büyümeye devam etti. Bu ağlar, riski gerçek zamanlı tespit, işlem limitleri, tokenlaştırma, sigorta ve sorumluluk kurallarıyla yönetti.
Liu’ya göre, DeFi’de de benzer bir yaklaşım gerekiyor. Sistemler, tek bir anahtarın ele geçirilmesi, yapılandırma hatası veya bir açık nedeniyle tüm likidite havuzunun boşaltılamayacağı şekilde tasarlanmalı.
Bu da DeFi güvenliğinde bir sonraki aşamanın, “patlama yarıçapı” ile değerlendirileceği anlamına geliyor. Protokoller, ayrıcalıklı rollerde daha sıkı sınırlar, güçlü anahtar yönetimi, temkinli limitler, daha iyi oracle tasarımı, işlem bazlı izleme ve ön yürütme engelleme gibi önlemler almak zorunda kalabilir. Sigorta, ödül programları ve canlı müdahale ekipleri de büyük kullanıcı fonlarını yöneten platformlar için daha önemli hale gelebilir.
Kullanıcılar açısından ise daha seçici bir yaklaşım öne çıkabilir. Takma adlı Yearn Finance geliştiricisi Banteg, tüm DeFi pozisyonlarından çıkmayı önermese de asimetrinin gerçek olduğunu kabul ediyor. Banteg’in tavsiyesi, yeni ve karmaşık protokollerden uzak durup, daha eski ve test edilmiş sistemlere odaklanmak yönünde.
Bu temkinli yaklaşım, sermayenin yönünü de belirleyebilir. Daha basit tasarıma, uzun geçmişe ve net kontrollere sahip olgun protokoller kullanıcıları elde tutmada avantaj sağlayabilir. Karmaşık entegrasyonlara veya yüksek getirilere dayalı protokoller ise, AI’ın zayıf noktaları daha kolay tespit etmesiyle birlikte daha fazla incelemeye tabi tutulabilir.
Bu içerik hazırlanırken faydalanılan kaynaklar: cryptorank.io
