İş Dijital Varlık Teknolojileri A.Ş. Kripto Varlık Yasal ve Uyum Uzmanı Av. Emre Avşar, Fintechtime Şubat sayısı için yazdı “Defi ve Akıllı Sözleşmeler Üzerine: Güvenlik ve Riskler”.
Defi ve Akıllı Sözleşmeler Üzerine: Güvenlik ve Riskler
DeFi’nin sunduğu yenilikler ve avantajlar, bazı belirgin risklerle birlikte gelir. DeFi’de çalışan sistemlerin şeffaf ve erişilebilir olması dolayısıyla, güvenlik konusunda riskler taşır. Ancak riskler bunlarla sınırlı değildir. En basit riskten en çetrefilli risklere kadar DeFi özelinde spesifik yapısal unsurları içerir.
Merkezi Finans ve DeFi’nin Yapısal Farklılıkları
Merkezi finans sistemleri yani aslında diğer bir adıyla geleneksel finans sistemleri, genellikle güvenliğin temel önceliklerde olduğu, konservatif ve korumacı bir yapıya sahiptir. Finansal hizmetleri yöneten kodlar gizlidir, sistemler arka planda göremeyeceğimiz gizlikte devam eder ve güvenlik duvarları arkasında korunur. Buradaki amaç pek tabi ki kötü niyetli kişilerin sistem açıklarını tespit etmesinin ve finansal kayıpların önüne geçmektir.
Buna karşın, merkeziyetiz finans (DeFi) sistemleri tamamen farklı bir yaklaşıma sahiptir. DeFi’deki kodlar açık kaynaklıdır ve herkes tarafından görüntülenebilir. Bu şeffaflığın, topluluğun sisteme olan güvenini artırdığı aşikârdır ancak aynı zamanda kötü niyetli aktörlerin bu kodları inceleyerek zayıflıkları hedef almasını da kolaylaştıran bir yapısı bulunmaktadır. Bu durumda ortaya çıkabilecek riskleri ve daha önceki örneklerde nasıl sonuçların oluştuğunu inceleyelim.
DeFi Ekosisteminde Karşılaşılan Temel Riskler
DeFi’nin sunduğu yenilikler ve avantajlar, bazı belirgin risklerle birlikte gelir. Biraz önce bahsettiğimiz gibi DeFi’de çalışan sistemlerin şeffaf ve erişilebilir olması dolayısıyla, güvenlik konusunda riskler taşımaktadır. Ancak riskler bunlarla sınırlı değildir. En basit riskten en çetrefilli risklere kadar DeFi özelinde spesifik yapısal unsurları içerir.
DeFi ekosistemindeki token fiyatları, yüksek oynaklığa sahiptir. Bu durum, yatırımcılar için hem fırsatlar hem de büyük riskler yaratabilir.
DeFi uygulamalarının altyapısı, blokzincir teknolojisine dayanır. Blokzincir kapasitesinin sınırlı olduğu durumlarda işlemler başarısızlıkla sonuçlanabilir. Ayrıca, akıllı sözleşmelerdeki hatalar veya oracle verilerinin gecikmesi, sistemin güvenilirliğini etkileyebilir.
DeFi protokollerinde yeterli token temin edilememesi, likidite sorunlarına yol açabilir. Özellikle teminatlı tokenlerin likiditeyi kilitlemesi, bu riski daha da artırır.
Merkeziyetsizlik iddiasındaki birçok DeFi protokolü, uygulamada yarı merkezi bir yapıya sahiptir. Anahtar yönetimindeki eksiklikler, bu sistemlerin savunmasız hale gelmesine neden olabilir.
DeFi protokolleri, blokzincir teknolojisinden kaynaklanan konsensüs risklerini taşır. Örneğin, blokzincire özgü %51 saldırıları veya Sybil (sahte kimlik saldırısı) saldırıları, sistemin bütünlüğünü tehdit edebilir.
DeFi projelerinin çoğu, henüz erken geliştirme aşamasındadır. Bu nedenle, kullanıcılar bu projelere yatırım yaparken finansal riskleri de göz önünde bulundurmalıdır.
Akıllı Sözleşmelerin Güvenliği
Akıllı sözleşmeler, DeFi’nin temel taşlarından biridir. Hatta DeFi protokolleri sadece bu akıllı sözleşmeler üzerine yapılandırılmış desek abartmış olmayız. Ancak, bu sözleşmelerdeki hatalar ve zayıflıklar, ciddi güvenlik açıklarına yol açabilir. Sözleşmelerin bir koda dayandığı, insan müdahalesinin asgari ölçüde olması gibi durumlar sözleşmelerin değiştirilemez konsensus mekanizmalarıyla çalışması bu durumu etkilemektedir.
Mantık Hataları: Kodlama ve hesaplama hataları, akıllı sözleşmelerin beklenmedik şekilde çalışmasına neden olabilir. Bu tür hatalar, fonların kilitlenmesine veya sistemin tamamen işlevsiz hale gelmesine yol açabilir.
Zaman Damgası Manipülasyonu; Oracle’lar, blokzincirlerin dış dünyadan veri almasını sağlar, ancak bu veri akışının manipüle edilmesi fiyat ve zamanlama manipülasyonlarına yol açabilir. Bu durum, kullanıcıların zarar görmesine neden olabilir.
Flash Krediler: DeFi platformlarında kullanılan yenilikçi bir kredi mekanizması olan bu mekanizma, kullanıcıların herhangi bir teminat göstermeden büyük miktarda borç almasına olanak tanır, ancak bu borcun aynı işlem (transaction) içinde geri ödenmesi gereklidir. Bu özellik, saldırganlar tarafından kötüye kullanılabilir ve piyasa manipülasyonlarına yol açabilir. Bir varlığın değeri flash kredilerle yükseltilebilir, likidite havuzundaki denge bozulabilir, böylelikle başka piyasalarla arbitraj yapılabilir. Bu yöntemle saldırganlar, büyük kazançlar elde edebilir.
RugPullar: DeFi geliştiricileri, yeni bir token oluşturup bu tokenı önde gelen bir kripto para birimine (Ether veya Tether gibi) bağlıyor ve likidite havuzu oluşturuyor. Kullanıcıları bu havuza yatırım yapmaya ikna etmek için aşırı yüksek getiriler vaat ediyorlar. Havuza yeterli likidite girişi sağlandıktan sonra, geliştiriciler bir arka kapı kullanarak likiditeyi tamamen çekiyor ve kayıplara karışıyor. Bu tür riskler sıklıkla karşılaşılan risklerden.
Diğer Akıllı Kontrat Sömürüleri: Yukarıda bahsettiklerimizin yanı sıra; Dengesiz işlem çağrıları kullanılarak oluşan geri çağırma sorunları, yok etme açıkları, sayısal işlemlerin sınırlarını aşılması sonucu oluşan hatalar, gaz limitleri ve işlem döngülerinin sınırının aşılması sonucu kontratın çalışmaz hale gelmesi gibi daha birçok çeşitli zayıflıklar mevcuttur.
Çok klasik örneklerle bu zafiyetleri açıklayabiliriz.
Klasik Bir Örnek: DAO Saldırısı
Yukarıda açıkladığımız risklerin bir kısmı örneklendi ve yaşandı. DAO, 2016 yılında merkeziyetsiz bir yatırım fonu olarak başlatıldı. Ancak, akıllı sözleşmesindeki bir açık nedeniyle saldırıya uğradı ve fonların %30’u (yaklaşık 50 milyon dolar) çalındı. Bu olay, Ethereum ağının ikiye ayrılmasına yol açtı. Yeni bir zincir olan Ethereum (ETH) oluşurken, orijinal zincir Ethereum Classic (ETC) olarak devam etti. Bu saldırı, DeFi sistemlerinin güvenlik açıklarını çarpıcı bir şekilde ortaya koydu.
Hata ise bakiyelerin güncellenmeden önce tekrar tekrar çekim yapılabilmesi hatasıydı. Yani bir geri çağırma hatası… Çok basit ve hiç kompleks olmayan bir kod hatası aslında.
bZx Oracle Saldırıları
DeFi protokollerinde oracle manipülasyonu, önemli bir güvenlik sorunudur. bZx platformunda gerçekleşen iki saldırı, bu riski net bir şekilde göstermektedir. 14 Şubat 2020 tarihli saldırıda saldırgan, dYdX platformundan 10.000 ETH borç bu borcun 5.500’ü ile Compaund’da 112 wBTC aldı ve bZx üzerinden ETH-BTC oranına karşı 5 kat kaldıraçlı kısa pozisyonlu işlem açtı bunun üzerine Uniswap’ta wBTC fiyatını tek başına 3 katı artırmış oldu, sonucunda 112 wBTC’yi satarak 350.000 USD kâr elde etti.
Bundan sadece 4 gün sonra başka bir saldırıda, saldırgan bZx üzerinden 7.500 ETH kredi aldı, Syntetix, Uniswap ve Kyber üzerinden sUSD fiyatını 2,30’a yükseltti. 7.500 ETH’lık kirediyi geri ödediğinde hala elinde 2.379 ETH’lık (yaklaşık 640.000 USD) karı durmaktaydı.
DeFi Sistemlerinde Güvenlik Önlemleri ve Sonuç
Web3 ekosisteminde yer alan kullanıcılar, sistemdeki risklerin farkında olmalı ve güvenlik önlemlerini gerçekten dikkate almalıdır. Bazen sadece kullanıcıların dikkati de yeterli olmayabilmekte, bu tarz manipülasyon sonuçlarıyla karşılaşılabilmektedir. Bu sebeple akıllı sözleşmelerin kapsamlı bir şekilde test edilmesi ve sürekli olarak denetlenmesi, bu risklerin azaltılmasında önemli bir etmendir. DeFi’nin sunduğu büyük potansiyel var, ancak risk yönetiminin ve stratejisinin doğru ve istikrarlı bir şekilde yapılması gerekiyor. Şeffaflık ve güvenlik arasındaki dengeyi sağlamak, Web3 ekosisteminin sürdürülebilirliği için temel bir gerekliliktir. Buna ilişkin alınabilecek önlemlerin ne olacağı bir sonraki makalenin konusu olacaktır.
