Merkezi Olmayan Finans'ın Riskleri ve Güvenlik Yönetimi Üzerine Tartışma

Merkezi Olmayan Finans, akıllı sözleşmeler kullanarak gerçekleştirilen merkeziyetsiz finans protokolleridir ve varlık ticareti, borç verme, sigorta ve çeşitli türev ürünler gibi birçok alanı kapsamaktadır. Kredi hizmetleri dışında, gerçek dünyadaki çoğu finansal hizmet, Merkezi Olmayan Finans protokolleri aracılığıyla gerçekleştirilebilir. Bu protokollerin özellikleri merkeziyetsiz ve otomatik çalışmasıdır, üçüncü taraf kurumların yönetim ve bakımını üstlenmemesi nedeniyle, sözleşmelerin risk kontrolü sektörün karşılaştığı büyük bir zorluk haline gelmiştir.

Merkezi Olmayan Finans, finans ve teknolojiye ait iki temel özelliğe sahip olup, başlıca aşağıdaki risklerle karşı karşıyadır:

1. Kod riski: Ethereum'un altındaki kod, akıllı sözleşme kodu ve cüzdan kodu gibi alanlardaki riskleri içerir. Tarihteki DAO olayları, son dönemdeki bir DEX'in güvenlik açığı saldırı sorunları ve çeşitli cüzdanların çalınması olayları, kod risklerinden kaynaklanmaktadır.

2. İş Riski: Temelde iş tasarımı sürecinde var olan açıklar nedeniyle ortaya çıkar, bu da insanların rasyonel bir şekilde saldırmasına veya manipüle etmesine neden olabilir. Örneğin, erken dönem FOMO3D'nin tıkanma saldırısına uğraması ve bir borç verme platformunun saldırılara karşı dayanaksız bir oracle'ı yanlış kullanması, varlıkların çalınmasına neden olmuştur. Bu tür eylemlerin uygulayıcıları genellikle arbitrajcılar olarak adlandırılır ve DeFi projeleri üzerinde hem olumsuz hem de olumlu etkileri vardır.

3. Piyasa dalgalanma riski: Bazı Merkezi Olmayan Finans projeleri tasarlanırken değişkenlerle başa çıkmak için yeterince dikkate alınmamıştır, bu da piyasanın aşırı durumlarında margin call durumlarıyla karşılaşılmasına neden olmuştur. Örneğin, 12 Mart 2020'deki piyasa çöküşü sırasında bir stabilcoin projesinin performansı, piyasanın aşırı dalgalanma riskinin tipik bir örneğidir.

4. Oracle Risk: Orakullar, küresel değişkenler sunan önemli bir altyapı olarak, saldırıya uğraması veya durması durumunda, ona bağımlı olan Merkezi Olmayan Finans projelerinin çökmelerine neden olabilir. Gelecekte, orakullar muhtemelen Merkezi Olmayan Finans alanındaki en kritik altyapılardan biri haline gelecektir. Dikkate değer olan, herhangi bir merkezi risk taşıyan orakulların uzun vadede sürdürülebilir olmasının zor olduğudur.

5. "Teknik Temsilci" Riski: Bu, esasen akıllı sözleşmeler ve blok zinciri hakkında bilgi sahibi olmayan sıradan kullanıcıların, merkezi bir ekip tarafından geliştirilen "kolaylık" etkileşim araçlarını kullanırken karşılaşabileceği potansiyel riskleri ifade eder.

DeFi projeleri tasarlanırken, yukarıda belirtilen risk faktörlerinin yeterince dikkate alınması gerekmektedir. Kapsamlı bir risk yönetimi sadece belgelerde uyarılar yapmakla kalmaz, aynı zamanda bir dizi somut yönetim önlemi almayı da gerektirir. Bu önlemlerin çoğu merkeziyetsiz bir şekilde uygulanmalı, bir kısmı ise topluluk yönetimi (özellikle zincir üzerindeki yönetim) aracılığıyla tamamlanabilir.

Aşağıda bir Merkezi Olmayan Finans risk yönetim çerçevesi yer almakta olup, esasen ön, an ve sonrası olmak üzere üç aşamaya ayrılmaktadır:

Öncelikle: Temelde, sözleşme kodunun biçimsel doğrulamasını yapmak, sözleşmenin kullandığı yöntemlerin, kaynakların hatta talimatların sınırlarını net bir şekilde belirlemek ve bu unsurların bir araya gelme sürecindeki karşılıklı etkilerini içermektedir. Yeterince gerekçelendirilmemiş yöntemler veya belirsiz sınırlarla bir araya getirilenler kullanılmamalıdır. Bu doğrulama süreci, geleneksel yazılım geliştirme testlerinden ziyade matematiksel bir kanıta daha yakındır. İdeal bir sözleşme geliştirme, zaten gerekçelendirilmiş yöntemlerin kombinasyonları üzerine inşa edilmelidir.

Olay sırasında: Ana olarak durdurma tasarımı ve anormal tetikleme tasarımı içerir. Sözleşme, saldırı davranışlarını tanıyabilmeli ve müdahale edebilmelidir; bu, otomatik durdurma tasarımı ve yönetişim durdurma tasarımını içerir. Anormal tetikleme, sözleşmenin çalışma sürecinde ortaya çıkan beklenmedik olayların kontrol yönetimini sağlamaktır; genellikle otomatik olarak, tetikleme mekanizması aracılığıyla risk yönetimi değişkenlerini ayarlamak için kullanılır.

Sonrası: Sonrası risk yönetimi birkaç unsuru içermektedir. Öncelikle, eğer kodda bir açık meydana gelirse, bunu zincir üzerindeki yönetişim (DAO yönetişimi) aracılığıyla düzeltmek gerekecektir. İkincisi, eğer yönetişim varlıkları kendisi bir saldırıya uğrarsa, bir sözleşme çatallaması yapılması gerekebilir, bu genellikle göz ardı edilen önemli bir aşamadır. Ayrıca, olası kayıpları azaltmak için sigorta mekanizmaları kullanılabilir. Son olarak, topluluk zincir üzerindeki verileri takip ederek çeşitli kurumlarla iş birliği içinde kayıpları geri alabilir.

Şu anda, sektörün Merkezi Olmayan Finans güvenliğine dair anlayışı hala oldukça ilkel bir aşamadadır. Gelecekteki gelişmelere uyum sağlamak için sınır, bütünlük, tutarlılık, formel doğrulama, durdurma, anormal tetikleme, yönetişim, çatallama gibi yeni düşünce ve kavramların benimsenmesi gerekmektedir. Sadece düşünce tarzını değiştirerek, Merkezi Olmayan Finans alanındaki güvenlik zorluklarıyla daha iyi başa çıkabiliriz.