KelpDAO'daki 293 milyon dolarlık hack: DeFi'daki karmaşıklık riski nedir?

2019'dan beri DeFi dünyasını takip ediyorum ve öğrendiğim bir şey varsa, o da "inovasyon" kelimesinin çoğu zaman "kimsenin tam olarak anlamadığı yeni bir risk katmanı ekledik" demenin kibarcası olduğu. Son yaşanan 293 milyon dolarlık KelpDAO hack olayı, sadece uzun exploit listesine eklenen bir madde değil. Bu olay, DeFi'daki karmaşıklık riski nedir sorusunun ders kitabı niteliğinde bir örneği ve sektörün, matematiğin güvenli bir şekilde yönetilemeyecek kadar karıştığı o duvara nihayet çarptığını gösteriyor. Daha önce, arka plan bilgisi için DeFi cüzdan risklerini incelemiştik.

KelpDAO'da gerçekte ne oldu?

Likit restaking mevzusunun derinliklerine inmemiş olanlar için anlatayım; KelpDAO, kullanıcıların stake edilmiş varlıklardan ödül kazanırken aynı zamanda likiditelerini korumalarını sağlamak için tasarlanmıştı. Sorun şu ki, likit restaking basit bir süreç değil. İşin içinde akıllı kontrat katmanları, üçüncü taraf protokoller ve birbirine bağlı teminat döngüleri var.

Bu olayda saldırgan, kodun tek bir satırındaki basit bir hatayı bulmadı. Bunun yerine, protokolün farklı bileşenlerinin birbiriyle nasıl etkileşime girdiğini kullandılar. Sistemin durumunu manipüle ederek neredeyse 300 milyon doları boşalttılar. Bu, geleneksel anlamda bir "flash loan" saldırısı değildi; sistemin belirli ve karmaşık bir olaylar dizisini yönetememesinden kaynaklanan bir başarısızlıktı.

DeFi'daki karmaşıklık riski nedir ve neden önemlidir?

Karmaşıklık riskinden bahsettiğimde, aslında "Lego bloğu" probleminden bahsediyorum. İlk günlerde bir protokol tek bir iş yapardı. Uniswap token takas ederdi, Aave ise ödünç verirdi. Basitti. Ama artık başka protokollerin üzerine kurulan, sonra başka bir token ile sarmalanan ve ardından bir getiri optimize ediciye yatırılan protokoller var.

Her yeni katman, yeni bir hata noktası demek. Her bir kod parçası "denetlenmiş" ve "güvenli" olsa bile, bu parçaların etkileşimi beklenmedik açıklar yaratabiliyor. Bu durum, her bir vidası çok güçlü olan ama genel mimarisi o kadar dengesiz ki, yanlış yönden esen bir rüzgarla yıkılan bir gökdelen inşa etmeye benziyor.

Bu kalıbı daha önce de gördüm. Risklerin sadece koddan değil, insan faktöründen ve yönetici anahtarlardan kaynaklandığı Drift Protocol hack olayını daha önce yazmıştım. KelpDAO ise farklıydı çünkü risk, ürünün temel mantığının içine gömülmüştü.

Sektör nerede hata yapıyor?

En büyük sorun, çoğu kullanıcının (ve hatta bazı geliştiricilerin) denetimleri bir "onay mührü" gibi görmesi. Saygın bir güvenlik firmasından gelen bir PDF görüyorlar ve paralarının güvende olduğunu varsayıyorlar. Ama denetim sadece anlık bir fotoğraftır. Bir protokolün, volatil bir piyasada diğer beş canlı protokolle etkileşime girdiğinde nasıl davranacağını hesaba katmaz.

İnsanların hayat birikimlerinin yok olduğu bir ortamda, "hızlı hareket et ve bir şeyleri kır" zihniyetinden gerçekten sıkıldım. Güncel piyasa verileri, Korku ve Açgözlülük Endeksi'nin 43 ile "Nötr" olduğunu ve Bitcoin dominansının %60,25'te seyrettiğini gösteriyor. İnsanlar BTC'ye sığınıyor çünkü DeFi'daki "yüksek getirilerin" genellikle aşırı sistemik risk şeklinde gizli bir maliyeti olduğunu fark ettiler. Özellikle enflasyona karşı korunmaya çalışan ve stabilcoinlerle güven arayan yatırımcılar için bu durum, yüksek getirinin aslında ne kadar tehlikeli olabileceğini kanıtlıyor.

Sistemik çökmelerden nasıl korunursunuz?

Birkaç blok içinde 300 milyon doların yok oluşunu izlemekten yorulduysanız, varlıklarınızı tutma şeklinizi değiştirmeniz gerekir. Size hangi protokolün "güvenli" olduğunu söyleyemem çünkü karmaşık bir sistemde güvenlik bir illüzyondur. Size söyleyebileceğim tek şey, temel olarak anlamadığınız bir protokole asla ana birikimlerinizi bırakmamanız gerektiğidir.

Uzun vadeli tutmayı planladığınız varlıkları zincirden çıkarın ve bir donanım cüzdanına taşıyın. Ben şahsen Ledger Flex kullanmayı tercih ediyorum çünkü E Ink dokunmatik ekranı, kötü niyetli bir işlemi yanlışlıkla onaylamayı çok daha zorlaştırıyor. 249 dolar, bir karmaşıklık saldırısıyla her şeyini kaybetmeye kıyasla ödenecek küçük bir bedel.

Son sözüm

DeFi artık büyümek ve olgunlaşmak zorunda. %20 APY peşinde koşmak için on farklı protokolü üst üste yığma devri kapanıyor çünkü risk artık çok belirgin. Bence "sıkıcı" DeFi'ye doğru bir kayış göreceğiz. Basit, şeffaf ve defalarca test edilmiş protokoller, gösterişli ve karmaşık olanları yenecek.

O zamana kadar, "optimize edilmiş" veya "katmanlı" getiriler vaat eden her protokolün, aslında paranızla yapılan dev bir deney olduğunu varsayın. Eğer fon akışını otuz saniyede bir peçete üzerine çizemiyorsanız, muhtemelen güvenli olmayacak kadar karmaşıktır.

Haberleri editörlerimizin seçtiği borsada takip edin: MEXC