Son zamanlarda kripto dünyası, merkezi olmayan finansın kırılganlığında bir başka yıkıcı ders gördü.
BunniDEX, Uniswap v4'ün yenilikçi kancalar mimarisi üzerine inşa edilen umut verici bir merkeziyetsiz borsa olarak, saldırganların Ethereum ve Unichain üzerindeki likidite havuzlarından 8,4 milyon dolar çekmesini çaresizce izledi. Birkaç saat içinde, 60 milyon dolar toplam kilitli değere sahip bu protokol, tek bir mantık seviyesindeki güvenlik açığıyla büyüme yolculuğunu kırarak fiilen iflas etti.
Saldırı, hassasiyetindeki cerrahi bir kesinlikte gerçekleştirildi. Blockchain güvenlik firması Halborn'a göre, saldırgan, Bunni'nin Likidite Dağıtım Fonksiyonu'nu dikkatlice manipüle ederek karmaşık bir flaş kredi saldırısıyla birleştirdi. Saldırgan, spot fiyat kademesini değiştirmek için USDT ödünç aldı ve bunu USDC'ye çevirdi, ardından havuzdaki yuvarlama hatalarını kötüye kullanarak hak ettiğinden daha fazla varlık çekerek likiditeyi orantısız şekilde azalttı. Bir havuzda mevcut likidite 28 wei'den sadece 4 wei'ye düştü - %85,7'lik bir azalma, büyük ölçüde yetkisiz çekimlere imkân sağladı.
Bu olayı özellikle düşündüren kılan, Bunni'nin her şeyi görünüşe göre doğru yapmasıydı. Protokol, iki saygın güvenlik firması Trail of Bits ve Cyfrin tarafından denetlenmişti. Yine de ikisi de kritik hatayı gözden kaçırdı. Bunni ekibi daha sonra hatanın bir uygulama hatası yerine bir "mantık seviyesi hatası" olduğunu kabul etti - geleneksel kod denetimlerinden kaçan ancak üretimde felaketle sonuçlanan türden bir hata. Çekme fonksiyonundaki yuvarlama hatası, geliştiricilerin beklentilerinin aksine çalışıyordu: Boşta olan bakiyeyi artırmak yerine, azalttı ve istismara uğrama koşullarını oluşturdu.
23 Ekim 2025 tarihinde Bunni, kalıcı olarak kapandığını duyurdu. Ekip, güvenli bir yeniden başlatma için gerekli olan altı ila yedi haneli dönüşüm masraflarına ek olarak kapsamlı denetim ve izleme sistemlerine ayıracak sermayeye sahip değildi. Kapanış açıklamalarında, "Son saldırı, Bunni'nin büyümesini durma noktasına kadar zorladı, ve güvenli bir şekilde yeniden başlamak için sadece denetim ve izleme masrafları için 6-7 haneli tutarlar ödememiz gerekecek - sahip olmadığımız sermaye gerektiriyor," yazdılar.
Bu durum, 2025 boyunca tüm DeFi ekosistemini rahatsız eden temel bir soruyu gündeme getiriyor: İyi denetlenen, teknik olarak sofistike bir protokol, tek bir mantık hatası tarafından çökertilebiliyorsa, gerçekten güvenli merkezi olmayan finans için ne umut vardır? Ve yıllar süren yıkıcı istismarlara ve milyarlarca dolar kayıplara rağmen bu saldırılar neden devam ediyor?
Krizin Ölçeği
Bunni'nin çöküşü tek bir olay değil, 2025'i kripto paranın en tehlikeli yıllarından biri olarak tanımlayan rahatsız edici bir modelin parçası. Hacken'in 2025 Web3 Güvenlik Raporu'na göre, kripto endüstrisi, 2025'in sadece ilk yarısında hack'ler ve dolandırıcılıklar nedeniyle 3,1 milyardan fazla kaybetti. Bu şaşırtıcı rakam, 2024'ün toplam 2,85 milyar dolarlık kayıplarını zaten aşıyor.
Merkeziyetsiz borsalara yönelik saldırıların yoğunlaşması özellikle dikkat çekici. CertiK'in 2025 üçüncü çeyrek analizi genel olarak kripto kayıplarının üçüncü çeyrekte %37’lik bir düşüşle 509 milyon dolara gerilemesine rağmen, DeFi projeleri ve borsaların prime hedefler olarak kalmaya devam ettiğini ortaya koydu. Merkezi borsalar 182 milyon dolar çalındı, ancak DeFi protokolleri de üçüncü çeyrekten yalnızca 86 milyon dolarla yakından izlendi.
İstatistikler, kuşatma altındaki bir ekosistemin rahatsız edici bir resmini çiziyor. Hacken'in araştırmacıları, erişim kontrolü istismarlarının 2025'in ilk yarısında tüm kayıpların yaklaşık %59'unu - yaklaşık 1,83 milyar doları - oluşturduğunu tespit ettiler. Akıllı sözleşme güvenlik açıkları ise ek olarak %8'e, veya 263 milyon dolar çalındı. Bu, 2025'in ilk yarısını, 2023'ün başından bu yana en maliyetli akıllı sözleşme saldırıları dönemi haline getirdi.
Belki de en kaygı verici olan, olayların sıklığındaki hızlanmadır. Eylül 2025, milyon dolarlık sömürülerde rekor bir sayı gördü - her biri 1 milyon doları aşan 16 saldırı, bugüne kadar kaydedilen en yüksek aylık sayı. Bazı protokoller daha iyi güvenlik önlemleri uygulasalar da, saldırganlar hala alarm verici bir hızla yeni güvenlik açıkları buluyor.
Önceki yıllarla karşılaştırıldığında, 2025 hem ilerleme hem de kalıcı bir tehdit anlamına geliyor. DeFi sömürmeleri için zirve yılı 2022'dir, bu yıl 3.7 milyardan fazla çalındı. Sektör 2023 ve 2024 yıllarında iyileşmeler gördü, yıllık kayıplar 2-3 milyar dolar aralığında azaldı. Ancak 2025'in sadece altı aydaki 3,1 milyar doları, eğilimin tersine dönebileceğini gösteriyor.
İnsan maliyeti, bu soyut rakamların ötesine geçiyor. Her sömürü, likidite sağlayıcılar, tacirler ve yatırımcılar gibi gerçek insanları temsil ediyor - fonlarını kaybeden. KyberSwap sömürüsünde etkilenen 2,367 kullanıcı, konsantre saldırıların tüm topluluklar üzerinde nasıl yankılar oluşturduğunu, güveni ve geçim kaynaklarını yok ettiğini gösteriyor.
Sömürülerin Anatomisi: Kod Hatalarının Öyküleri
DeFi güvenliğinin neden bu kadar ulaşılamaz kaldığını anlamak için protokollerin başarısız olduğu belirli mekanizmaları incelememiz gerekiyor. Aşağıdaki vaka çalışmaları, yönetilemez krediler, fiyat manipülasyonu, yinelenen erişim kontrol hataları ve mantık hataları gibi kendini tekrar eden desenleri ortaya koyuyor.
Bunni DEX ($8.4M, Eylül 2025)
Yukarıda detaylandırıldığı gibi, Bunni'nin sömürüsü çekme mantığındaki bir yuvarlama yön hatasından kaynaklanıyordu. Saldırgan, flaş krediler, mikro çekimler ve sandwich saldırılarını bir arada kullandı. Protokolün, likidite sağlayıcıları için getirileri optimize etmeye yönelik yenilikçi Likidite Dağıtım Fonksiyonu, Aşil topuğuna dönüştü. İstismar, matematiksel varsayımlar yanlış olduğunda dahi son teknoloji DeFi yeniliğinin öngörülemeyen saldırı vektörlerini nasıl ortaya çıkardığını gösterdi.
Curve Finance ($69M, Temmuz 2023)
Curve Finance sömürüsü, DeFi tarihindeki en teknik açıdan büyüleyici saldırılardan biridir. Güvenlik açığı, Curve'un kodunda değil, Vyper derleyicisinde bulunuyordu. Vyper sürümleri 0.2.15, 0.2.16 ve 0.3.0, geri çağırma kilitlerinin yanlış çalıştığı ve saldırganların aynı anda birden fazla fonksiyonu çağırmasına izin veren kritik bir hatayı içeriyordu.
İroni oldukça derindir: Vyper, Solidity'den daha güvenli olması için özel olarak oluşturulmuştu. Ancak Hacken’in analizi, bu derleyici seviyesindeki hatanın, tanıtıldığı Temmuz 2021'den yaklaşık iki yıl sonra Temmuz 2023'teki saldırıya kadar neredeyse fark edilmeden kaldığını açıklıyor. Vulnerability ancak Aralık 2021'de yayınlanan Vyper 0.3.1'de düzeltildi, ancak daha eski sürümlerin feci riskler oluşturduğunu kimse fark etmedi.
Curve saldırısı, JPEG'd, Metronome ve Alchemix dahil birçok DeFi protokolünü etkiledi. Güvenlik firması CertiK, çeşitli havuzlar aracılığıyla 69 milyon doların çekildiğini ve bu sömürünün 2023’teki yinelenen saldırı kayıplarının %78,6’sını oluşturduğunu belirtti. Olay, Curve'un toplam kilitli değerinin bir gün içinde yaklaşık %50 düşerek 1,5 milyar dolara kadar gerilemesine yol açan bir panik çekimine neden oldu.
Bu sömürünün özellikle öğretici kılan, bir “Programlama Dili Özel” zafiyeti olarak sınıflandırılmasıdır - geliştirici hatası değil, programlama dilinin kendisindeki kusur. Bu, korkutucu bir olasılığı tanıtır: kusursuz kod uygulaması bile altındaş araçlardaki kusurlar tarafından tehlikeye atılabilir.
KyberSwap ($48M, Kasım 2023)
Ambient borsasının yaratıcısı Doug Colkitt, KyberSwap sömürüsünü "gördüğüm en karmaşık ve dikkatlice tasarlanmış akıllı kontrat sömürüsü" olarak nitelendirdi. Saldırı, KyberSwap Elastic'in konsantre likidite özelliğinden Colkitt'in "sonsuz para hilesi" dediği özellik aracılığıyla yararlandı.
Güvenlik açığı, KyberSwap’ın takas mekanizmasındaki çapraz-tick tahmini ile nihai fiyat hesaplaması arasındaki bir tutarsızlıkta yatıyordu. Halborn'un analizi göre, takas miktarı .amountSwapToCrossTick eksi bir olduğunda, bir yuvarlama hatası havuz fiyatında yanlışlığa neden oluyordu. Bu, rowNextPrice'ın rowTargetPrice'e eşit olmasi ön koşulunu ihlal ederek beklenmedik likidite ikiye katlanmasına neden oldu.
Saldırgan, ETH/wstETH havuz fiyatını neredeyse hiç likidite olmayan bir alana manipüle ederek başladı. Sonra dar fiyat aralığında çok küçük miktarda likidite yarattılar ve iki önemli takas gerçekleştirdiler. İlk olarak, 1,056 wstETH minimal ETH karşılığında satıldı ve fiyat düştü. İkincisi, tersine çevrildi, ve başlangıçta satılandan çok daha fazlasını, 3,911 wstETH satın aldı. Havuz, orijinal LP pozisyonundan likiditeyi iki kez sayarak bu hırsızlığa izin verdi.
KyberSwap, computeSwapStep fonksiyonunda bu tür sömürülere karşı önleyici bir mekanizma uygulamıştı. Ancak, blockchain güvenlik araştırmacılarının keşfettiği üzere, saldırgan, işlemleri, belirtilen aralık dışında kalacak şekilde hassas bir şekilde tasarladı. bu koruma. Bu hassas mühendislik, saldırganların ne kadar sofistike hale geldiğini vurguluyor.
Euler Finance ($197M, Mart 2023)
Euler Finance flaş kredi saldırısı, 2023'ün en büyük DeFi sömürüsü olarak öne çıkıyor. Ethereum üzerinde izinsiz bir kredi protokolü olan Euler, likidite kontrollerinden yoksun donateToReserves fonksiyonundaki bir açık nedeniyle mağdur oldu.
Saldırı dizisi karmaşıktı. Sömürücü ilk olarak Aave üzerinden flaş kredi ile 30 milyon DAI ödünç aldı. Euler'e 20 milyon DAI yatırarak yaklaşık 19.6 milyon eDAI token aldı. Euler'in mint fonksiyonunu kullanarak, mevduatlarının 10 katını tekrar tekrar ödünç aldılar - bu, etkin kaldıraç için tasarlanmış bir özellikti ancak bağış mekanizmalarıyla birleştirildiğinde sömürülebilirdi.
Önemli adım, protokolün bu durumu düzgün bir şekilde doğrulamadan aşırı teminatlı borç oluşturduğunu doğrulamadan Euler'in rezervlerine 100 milyon eDAI bağışlamaktı. Saldırgan kendi pozisyonunu likide ettiğinde, 310 milyon dDAI ve 259 milyon eDAI elde ettiler. 38.9 milyon DAI çekip flaş krediyi faizle ödendikten sonra, sadece DAI havuzundan yaklaşık 8.9 milyon dolar kar ettiler. Bu model, toplamda 197 milyon dolarlık bir kazanç sağlamak için birden fazla havuzda tekrarlandı.
CertiK'in olay analizinde iki ana hata belirlendi: donateToReserves fonksiyonundaki likidite kontrollerinin eksikliği, öz sermaye ve borç token manipülasyonlarına olanak tanıdı ve çözümsüz hesapların, borçları yerine getirmeden teminat elde etmelerine olanak tanıyan bir sağlık puanlama mekanizması. Kodları inceleyen bir denetim firması olan Sherlock, sorumluluğu kabul etti ve açığı kaçırdıkları için Euler'e 4.5 milyon dolar tazminat ödemeyi kabul etti.
Şaşırtıcı bir bükülmede, saldırgan sonunda bütün fonları geri verdi ve zincir üzerinde şifreli mesajlar aracılığıyla özür diledi. Ancak, bu olağandışı çözüm, sömürüyü mümkün kılan temel güvenlik hatasını küçültmüyor.
GMX v1 ($40M, Temmuz 2025)
GMX v1 sömürüsü, Temmuz 2025'te, ilk nesil protokollerin lansmandan yıllar sonra bile nasıl savunmasız kaldığını gösterdi. Saldırı, GLP token değerlerinin nasıl hesaplandığına dair bir tasarım hatasından yararlanarak GMX'in Arbitrum'daki likidite havuzunu hedef aldı.
SlowMist'in analizinde kök neden ortaya kondu: GMX v1 tasarımı, kısa pozisyonlar açıldığında küresel kısa ortalama fiyatlarını hemen güncelledi. Bu, Varlıklar Altındaki Yönetim hesaplamalarını doğrudan etkileyerek manipülasyon fırsatları yarattı. Bir yeniden giriş saldırısı yoluyla, sömürücü küresel ortalama fiyatları manipüle etmek için büyük kısa pozisyonlar kurdu, tek bir işlem içinde GLP fiyatlarını yapay olarak şişirdi ve ardından çözümleme yoluyla kar elde etti.
Blok zincir uzmanı Suhail Kakar'ın "kitaptaki en eski numara" olarak tanımladığı yeniden giriş hatası, yüzeysel değil, temel bir zayıflık olduğunu kanıtladı. Saldırgan, kontratı hiç çekim yapılmadığına inanacak şekilde kandırabilir, uygun teminat olmadan tekrar tekrar token basabilir.
GMX'in yanıtı yenilikçi oldu. Sadece yasal çözümler peşine düşmek yerine, saldırgana çalınan fonların %90'ını 48 saat içinde iade etmeleri karşılığında %10 beyaz şapka ödülü - 5 milyon $ - teklif etti. Bahis işe yaradı. Sömürücü zincir üstü mesaj yoluyla kabul etti: "Tamam, fonlar daha sonra iade edilecek." Saatler içinde, fonlar geri akmaya başladı. Sonunda, Bitcoin ve Ethereum fiyat artışları nedeniyle GMX tam miktarı, biraz fazla miktarda geri kazandı.
Bu vaka, gelişen bir eğilimi gösteriyor: protokoller giderek daha fazla sofistike sömürücüleri sırf suçlu olarak değil, potansiyel beyaz şapka olarak değerlendiriyor ve yasal tehditler yerine ekonomik teşvikler kullanıyor.
Balancer (Ağustos 2023, 2.8M $ Risk Altında)
Balancer'ın Ağustos 2023'teki olayı farklı bir perspektif sunuyor - felaket kaybının yerine bir kıl payı kaçış. Balancer kritik bir açık keşfettiğinde, geliştiriciler hemen kullanıcıları uyardı ve riskleri azaltmak için çalıştı. Etkilenen likidite havuzlarının %95'ini başarıyla emniyete aldılar, ancak toplam kilitli değerinin %0.42'si olan 2.8 milyon dolar (yaklaşık) risk altında kaldı.
Ağır uyarılar ve ayrıntılı çekim talimatlarına rağmen, saldırganlar sonunda açıklardan yararlandı ve yaklaşık 900.000 $ aldı. Sömürü flaş kredileri kullanarak korunmayan havuzlara saldırdı. PeckShield, etkilenen tüm adresler hesaba katıldığında kayıpların 2.1 milyon doları aştığını belirtti.
Balancer'ın yönetimi kripto topluluğundan övgü aldı. Kripto araştırmacısı Laurence Day, bunun "kritik bir açığın mükemmel bir şekilde ifşa edilmesi" olduğunu ifade etti. Yine de olay, can sıkıcı bir gerçeği ortaya koydu: örnek iletişim ve hızlı tepkiyle bile, bir açık olduğunda, tam koruma sağlamak imkansız.
Ek Not Edilebilecek Sömürüler
Bu model, birçok başka olayda da devam ediyor:
Cetus ($223M, 2025): Hacken tarafından bildirildiği üzere, Cetus 2025'in en büyük tek DeFi sömürüsünü yaşadı - sadece 15 dakikada 223 milyon dolar drene oldu ve bu sömürü, likidite hesaplamalarında taşma kontrolü açığından kaynaklandı. Bu saldırı, ikinci çeyrekteki 300 milyon dolarlık DeFi kayıplarının önemli bir bölümünü oluşturdu.
Orbit Chain ($80M, Aralık 2023): Bu çapraz zincir köprüsü ve DEX entegrasyon hatası, protokollerin birden fazla blok zincirini kapsaması durumunda risklerin nasıl bileşebileceğini gösterdi. Çok imzalı cüzdanların ele geçirilmesi büyük fon hırsızlıklarını mümkün kıldı.
SushiSwap Router ($3.3M, Nisan 2023): Bir kamuya açık fonksiyonun kötüye kullanılması, yönlendirme mantığına yetkisiz erişime izin verdi ve erişim kontrolündeki küçük ihmallerin bile ne kadar maliyetli olabileceğini gösterdi.
Uranium Finance, Radiate Capital, KokonutSwap: Bu daha küçük protokoller benzer kaderleri paylaştı - likidite yönetimindeki mantık hataları, yetersiz giriş doğrulaması ve saldırganların milyonlarca dolarlık kayıplara uğramasına sebep olan uygunsuz erişim kontrolleri.
Neden Denetimler Gerçek Tehditleri Kaçırmaya Devam Ediyor
Bunni sömürüsü, DeFi'nin en sinir bozucu paradokslarından birini kristalize ediyor: birden fazla profesyonel denetim yapılan protokoller bile felaketle sonuçlanacak şekilde başarısız olabiliyor. Bunu anlamak için denetimlerin aslında ne yaptığına - ve daha da önemlisi, yapamayacağı şeylere - bakmalıyız.
Geleneksel akıllı sözleşme denetimleri, öncelikle söz dizimiyle ilgili güvenlik açıklarına odaklanır: yeniden giriş riskleri, tam sayı taşma/aşma, korumasız fonksiyonlar, gaz optimizasyonu ve en iyi uygulamalara uyum gibi. Denetçiler, kodu satır satır inceleyerek, Smart Contract Weakness Classification Registry gibi veri tabanlarında belgelenen yaygın güvenlik açığı modellerini kontrol eder. Bu işlem, değerli olmakla birlikte, uygulama düzeyinde faaliyet gösterir.
Semantik güvenlik açıkları - Bunni'nin yuvarlama hatası gibi mantık düzeyindeki kusurlar - daha yüksek bir kavramsal düzlemde var olur. Bu hatalar, kod tam olarak yazıldığı gibi çalıştığında ancak belirli senaryolarda istenmeyen sonuçlar ürettiğinde ortaya çıkar. Bunni'nin çekim fonksiyonundaki yuvarlama kod yürütme açısından mükemmel çalıştı. Ancak geliştiricilerin ekonomik model varsayımlarından tersine çalıştı.
Trail of Bits ve Cyfrin, Bunni'yi denetleyen firmalar, blockchain güvenliğinde saygın liderlerdir. Trail of Bits, Uniswap, Compound ve Maker gibi büyük protokolleri denetlemiştir. Bunni'nin açığını yakalayamamaları, yetersizlikten ziyade denetim metodolojisinin temel sınırlamalarını yansıtır.
Denetim etkinliğini sınırlayan birkaç faktör vardır:
Zaman ve Kaynak Sınırlamaları: Kapsamlı denetimler tipik olarak 40.000-100.000 $ maliyetli ve 2-4 hafta sürer. Bunni gibi yenilikçi özelliklere sahip karmaşık protokoller için tüm uç durumların gerçekten kapsamlı test edilmesi aylar sürer ve çoğu projenin bütçesini aşıp aşan maliyetler gerektirir. Denetçiler, derinlik ve ekonomi arasında pratik dengelemeler yapmak zorunda kalır.
Yenilikçi Mimari Zorluklar: Bunni, 2024'ün sonlarında tanıtılan Uniswap v4'ün yeni kancalar sistemi üzerine inşa edilmiştir. Kanca tabanlı protokollerin sınırlı gerçek dünya testi, denetçilerin başvuracakları yerleşik güvenlik açığı modellerine sahip olmamalarını sağladı. Yenilik, keşfedilmemiş bölgelere girme riski artarak doğası gereği risk artar.
Spesifikasyon Belirsizliği: Denetçiler, yalnızca kodun spesifikasyonlara uygun olup olmadığını kontrol edebilirler. Eğer spesifikasyonlar kendileri mantık hataları veya eksik uç durum tanımları içeriyorsa, denetçiler temel olarak hatalı olan tasarımları onaylayabilir. Bunni'nin likidite dağıtım fonksiyonu getirileri optimize etmek için tasarlanmıştı, ancak spesifikasyon, aşırı koşullar altında birbirine etki eden yuvarlama davranışını dikkate almamış gibi görünüyordu.
Birleşebilirlik Sorunu: DeFi protokolleri, sayısız harici sistemle entegre olur - fiyat oracles, diğer protokoller, yönetim mekanizmaları. Denetçiler genellikle sözleşmeleri soyut olarak değerlendirirler, tüm muhtemel etkileşim senaryolarını değil. Güvenlik açığı, yasal işlevlerin beklenmedik kombinasyonlarından ortaya çıkabilir.
Bu sınırlama, sektör içindeki kişiler tarafından "denetim tiyatrosu" olarak adlandırılan bir olguda tezahür eder - projeler, pazarlama amacıyla denetim rozetlerini öne çıkarırken, sömürülebilir hatalara ev sahipliği yapar. Immunefi verilerine göre, büyük sömürmelerin yaklaşık %60'ı, en az bir denetim geçiren protokollerde meydana gelir. Denetimin varlığı, sahte bir güvenlik yerine gerçek bir güvenlik sağlar ve ekonomik teşvikler bu sorunları daha da kötüleştirir. DeFi, son derece rekabetçi bir ortamda faaliyet gösterir ve denetimlerde açığa çıkabilecek gibi olaylar daha fazla denetlenirken, özel oalrak dikkatleri çeker.
Bu içerikteki markdown bağlantılarına müdahale etmedim. Eğer başka içerik sunmamı isterseniz, lütfen tereddüt etmeden bana bildirin!Çeviri Aşağıdaki Gibi Çevrildi:
"race to market" ortamı. Projeler, rakiplerinden önce hızlı bir şekilde piyasaya çıkma baskısı altında. Geliştirmede her haftalık gecikme, potansiyel pazar payı ve toplam kilitli değere mal oluyor. Uzun ve kapsamlı güvenlik incelemeleri bu aciliyetle çelişiyor.
Teşvik asimetrisine dikkat edin: denetim maliyetleri 100,000 dolar olabilirken, ortalama istismar kayıpları 10-30 milyon doları aşıyor. Rasyonel aktör perspektifinden bakıldığında, projeler güvenliğe ağır yatırım yapmalı. Ancak davranışsal ekonomi farklı bir hikaye anlatır. Kurucular, kodlarının özel olduğuna, saldırıların hedefi olmayacaklarına veya hızlı tekrarlamanın kapsamlı hazırlığı yeneceğine kendilerini ikna ederek iyimserlik yanılgısı sergiler.
Curve'ü yok eden Vyper zafiyeti başka bir boyutu gösteriyor: tedarik zinciri güvenliği. Protokol geliştiricileri mükemmel kod yazsa ve denetçiler bunu kapsamlı bir şekilde gözden geçirse bile, derleyicilerde, kütüphanelerde veya geliştirme araçlarındaki zafiyetler tüm bu çabaları geçersiz kılabilir. Bu, hem geliştiricilerin hem de denetçilerin kendi özel alanlarının doğru olduğunu düşündüğü için kodun güvende olduğuna dair sahte bir güven duygusu yaratır.
Güvensizliğin Ekonomisi
DeFi'nin kalıcı güvenlik hatalarını anlamak, riskli geliştirme uygulamalarını teşvik eden temel ekonomik güçlerin incelenmesini gerektirir.
DeFi kültüründe "hızlı hareket et ve TVL'yi üret" yaklaşımı hakimdir. Toplam kilitli değer, protokol başarısının birincil metriği olarak hizmet eder, token fiyatlarını, kullanıcı güvenini ve rekabetçi pozisyonlamayı doğrudan etkiler. Protokoller, yüksek getiriler, yeni özellikler ve agresif pazarlama yoluyla likidite çekmek için yarışırlar. Güvenlik, bunun aksine, felaketli bir başarısızlığa kadar görünmez kalır. Altı ay boyunca titiz testlere harcama yapan projeler, rakiplerin lansman yapıp pazar payı kazanırken, güvenlikten ödün verme baskısıyla karşı karşıya kalır.
Bu dinamik, ters seçim etkileri yaratır. Güvenliğe öncelik veren muhafazakar protokoller, uzun vadede hayatta kalmak için gerekli olan TVL'ye asla ulaşamayabilirken, "hızlı hareket et ve şeyleri kır" yaklaşımını benimseyen daha riskli projeler erken benimseyici coşkusunu yakalar. Piyasa, temkinliliği etkili bir şekilde cezalandırırken, dikkatsizliği ödüllendirir - en azından bir istismar gerçekleşene kadar.
Bu ortamda DeFi'nin en büyük gücü olan birleştirilebilirlik, onun Achilles topuğuna dönüşür. Modern protokoller Chainlink gibi dış fiyat oracle'larını entegre eder, Aave veya Compound'dan likidite ödünç alır, Uniswap üzerinden yönlendirme yapar ve düzinelerce diğer sistemle etkileşime geçer. Her entegrasyon noktası muhtemel saldırı yüzeylerini çoğaltır. Bağlı herhangi bir protokole ait bir güvenlik açığı, tüm ekosisteme yayılabilir.
Euler istismarının Balancer, Angle ve Idle Finance üzerindeki etkisi bu bulaşma riskini gösterdi. Balancer'ın Euler Boosted USD havuzu, Balancer'ın kendi kodu güvenli olmasına rağmen toplam kilitli değerinin %65'ini, yani 11.9 milyon doları kaybetti. Angle'da 17.6 milyon USDC Euler'de sıkıştı ve Idle Finance 4.6 milyon dolar kaybetti. Bir protokolün zafiyeti, tüm DeFi grafiğini etkiledi.
Geliştiriciler imkansız adil gecişmeylerle karşı karşıya kalır. İzolasyonda inşa etmek, birleştirilebilirlik avantajlarından vazgeçmek ve işlevselliği sınırlamak anlamına gelir. Yaygın olarak entegre olmak, bağlantılı her protokolün risklerini üstlenmek demektir. Güvenli bir yol yoktur, sadece tehlike dereceleri vardır.
Savunucular ile saldırganlar arasındaki ekonomik asimetri çarpıcıdır. Protokoller, milyonlarca kod satırı ve karmaşık etkileşimler arasında olası bütün saldırı vektörlerini savunmalıdır. Saldırganlar, yalnızca istismar edilebilir bir zayıflık bulmalıdır. Savunucular, sürekli olarak önemli maliyetler (geliştirme zamanı, denetim ücretleri, izleme sistemleri) taşırken, saldırganlar bir kez yatırım yaparak potansiyel olarak muazzam kazançlar elde edebilirler.
Aave ve dYdX gibi platformlarda bulunan flaş krediler, saldırılar için sermaye bariyerini önemli ölçüde düşürür. Tarihsel istismarlar, saldırganların başlangıçta büyük miktarda kripto para bulundurmasını veya ödünç almasını gerektiriyordu. Flaş krediler, minimal maliyetle tek bir işlem içinde milyonlarca sermaye sağlar. Kredi işlem tamamlanmadan ödenirse, saldırılar, denemesi etkin bir şekilde ücretsiz hale gelir.
Halborn'un Top100 DeFi Hacks Report'una göre, flaş kredi saldırıları 2024'te hız kazandı ve uygun istismarların %83,3'ünü oluşturdu. 2025 yılı bu eğilimi sürdürmektedir. Teknoloji, istismarı sermaye ağırlıklı profesyonel bir operasyon olmaktan çıkarıp, akıllıca bir zafiyetle herhangi bir yetenekli geliştiricinin deneyebileceği bir şeye dönüştürdü.
Beklenen değer hesaplaması, saldırganlar lehine ezici bir avantaj sağlar. Düşünün: denetim maliyetleri ortalama 40,000-100,000 dolar arasında değişir. Ortalama istismar kayıpları 10-30 milyon dolar arasındadır. Ancak birçok protokol, temel denetimleri karşılamakta bile güçlük çeker. Bu arada, başarılı saldırganlar, dakikalar içinde minimal başlangıç yatırımıyla on milyonlar çalabilir.
Bu dengesizlik daha geniş bir piyasa hatasını yansıtır. Güvenlik, kamu yararıdır - sağlam protokollerden herkes faydalanır ama bireysel aktörler ortak güvenlik için ödeme yapma konusunda sınırlı teşviklerle karşı karşıyadır. Güvenliğe ağır bir şekilde yatırım yapan protokoller, kendi kodlarına benzer maliyetler yüklenmeden kopya çeken bedavacılara sübvansiyon sağlar. Bu, güvenliğe sistematik olarak yetersiz yatırım yapılmasının trajedisini yaratır, felaketli toplam kayıplara rağmen.
Flaş Kredi Paradoksu
Flaş krediler, DeFi güvenliğinin belki de en paradoksal unsurunu temsil eder: ekosistemin işlevselliği için gerekli bir teknoloji olup aynı zamanda en kötü istismarlarının birçoğunu mümkün kılar.
Temelde flaş krediler, tek bir blok zinciri işlemi içinde borç alınıp geri ödenmesi gereken teminatsız kredilerdir. Geri ödeme başarısız olursa, tüm işlem hiç gerçekleşmemiş gibi geri döner. Bu, borç verenler için temerrüt riskini ortadan kaldırırken, borçlulara geçici olarak muazzam sermayeye erişim sağlar.
Meşru kullanım durumları etkileyici. Arbitrajörler, borsa fiyatları arasında fiyat düzensizliklerini düzelterek pazar verimliliğini artırırlar. Traderlar pozisyonları başka bir lending platformuna daha iyi koşullarla taşımak için yeniden finanse edebilirler. Geliştiriciler, likidasyon mekaniğini test edebilir veya protokolleri, kişisel fonlarını riske atmadan stres altında deneyebilirler. Bu uygulamalar, DeFi'nın birleştirilebilirliğini ve sermaye verimliliğini artırır.
Ancak flaş kredilerin faydalı olmasını sağlayan aynı özellikler, onları istismar için mükemmel hale getirir. Tipik bir flaş kredi saldırı dizisini düşünün:
Adım 1 - Borç Alma: Saldırgan, Aave veya dYdX'ten minimal ücretle (genellikle %0,09 veya daha az) milyonlarca token flaş kredi alır.
Adım 2 - Manipülasyon: Alınan sermaye kullanılarak hedef protokol manipüle edilir - belki fiyat oracle'ı, bir likidite havuzu çekilip boşaltılır veya re-entrancy bug'ı kullanılabilir.
Adım 3 - Çıkartma: Manipülasyon, yetkisiz çekimler veya saldırgana kar sağlayan swaps sağlar.
Adım 4 - Geri Ödeme: Saldırgan, orijinal kredi tutarını ve ücretlerini geri öder, istismar edilen farkları cebine atar.
Toplam Süre: Tüm bunlar genellikle saniyeler içinde tamamlanan bir işlemde gerçekleşir. Herhangi bir adım başarısız olursa, tüm dizi geri sarılır, yani saldırganlar hiçbir şeyi riske etmezler.
Bunni istismarı bu modeli örnekleyebilir. Saldırgan, flaş krediler kullanarak token borç aldı, havuz fiyatlarını manipüle etmek için swaps yürüttü, sonra döndürme hatalarını kullanarak çeşitli mikro çekimler gerçekleştirdi, kredi geri ödedi ve 8.4 milyon dolarla kaçtı. Geleneksel finansın eşdeğeri yoktur - 30 milyon dolara serbest erişim elde edip bir banka soygunu denemek gibi, yakalanmanız halinde tüm girişimin olmadığını varsayarak.
Chainalysis araştırması Euler saldırısında, flaş kredilerin söylediklerinin aksini gerçekleştirdiğini gösteriyor. Saldırganın Euler's lending oranlarını manipüle etmek için geçici 30 milyon dolarlık sermayeye ihtiyacı vardı. Flaş krediler olmadan, böyle bir sermayeye sahip olmak ya büyük kişisel servet ya da önceki saldırı gelirlerinin karmaşık bir şekilde aklanmasını gerektirirdi. Flaş krediler giriş engelini neredeyse sıfıra indirdi.
Paradoks şudur: flaş kredileri yasaklamak veya ağır şekilde kısıtlamak, temel DeFi ilkelerini zayıflatır ve meşru kullanım durumlarını ortadan kaldırır. Flaş krediler, DeFi piyasalarını verimli tutan atomik arbitraja olanak tanır. Sermayenin en üretken kullanımlarına anında ulaşmasına izin verirler. Onları kaldırmak, likiditeyi parçalara bölecek ve birleştirilebilirliği azaltacak - DeFi'yi yenilikçi kılan özellikler.
Ancak flaş kredilere izin vermek, sermaye ağırlıklı olsun veya olmasın, yeterli teknik yetenekli herhangi bir saldırganın istismar edebileceği her zafiyetin erişimine izin vermek anlamına gelir. Teknoloji, yeniliği ve saldırı kabiliyetini eşit ölçüde demokratik hale getirir.
Bazı protokoller orta çözümlemeler denedi. Flaş kredilerde zaman gecikmeleri, borçluların fonları çoklu bloklar boyunca tutmalarını gerektirir, bu, atomik saldırıları önleyecek ama aynı zamanda arbitraj fırsatlarını da ortadan kaldıracaktır. Yönetim onaylı borçlu beyaz listeleri, tanınmış aktörler için işlevselliği korur ama DeFi'nin izinsiz etosuna aykırı düşer. Aşırı volatilite sırasında havuzları durduran devre kesiciler, zararı sınırlayabilir ama yanlış pozitifleri tetikleyebilir, kullanıcı deneyimine zarar verebilir.
Aave belgeleri flaş kredilerini "güçlü bir araç" olarak tanımlar, "dikkatle kullanılmalıdır". Bu dikkatli çerçeve, ikilemeyi kabul eder: aracın kendisi nötrdür, ama uygulamaları iyi niyetliyken yerine göre yıkıcı olabilir. DeFi, flaş kredileri keşfedemez, bu istenir de değil çünkü meşru yararlılıkları vardır. Bunun yerine, protokoller sınırsız sermaye ile mümkün olan herhangi bir operasyonun nihayetinde deneneceğine dair tasarım yapmalıdır.
DeFi Güvenliğini Yeniden İcat Etme Girişimleri
Kalıcı zayıflıkların farkındalığıyla, DeFi endüstrisi, geleneksel denetimlerin ötesine geçen yeni güvenlik yaklaşımlarını denemeye başladı.
Gerçek Zamanlı Tehdit İzleme
Forta Network sürekli izlemeye yönelik öncü bir temsilcidir. Kodu bir keresinde konuşlandırmadan önce denetlemek yerine,İçerik: Forta, blok zinciri işlemlerini gerçek zamanlı olarak izleyen, şüpheli kalıpları arayan merkezi olmayan bir güvenlik botları ağı kullanır. Alışılmadık bir etkinlik gerçekleştiğinde - örneğin, hızlı havuz boşaltma ile bir flaş kredisi - Forta'nın botları protokol ekiplerine ve kullanıcılara uyarılar gönderir.
Bu yaklaşım, güvenlik açıklarının var olacağını kabul ederek hızlı tespit ve yanıt üzerinde yoğunlaşır. Açıkların saatler yerine saniyeler veya dakikalar içinde tanımlanabilmesi durumunda, protokoller işlemleri duraklatabilir ve zararları sınırlayabilir. Artık birçok protokol, Forta'nın izlenmesini standart bir güvenlik katmanı olarak entegre etmektedir.
Zorluk, kötü niyetli etkinlikleri meşru uç-vaka kullanımından ayırmada yatıyor. Gereksiz yere protokol işlemlerini duraklatan yanlış pozitifler, kullanıcı güvenini ve işlevselliği aşındırır. Algılama algoritmalarını kalibre etmek, saldırganların tekniklerini geliştirmesiyle sürekli iyileştirme gerektirir.
Devre Kesiciler ve Durdurma Koruyucuları
Modern akıllı sözleşmeler, anormallikler meydana geldiğinde işlemleri donduran "durdurma" işlevlerini giderek daha fazla içermektedir. Bu devre kesiciler, protokol ekipleri tarafından manuel olarak veya önceden tanımlanmış eşiklere dayalı olarak otomatik olarak tetiklenebilir - olağandışı ticaret hacimleri, hızlı likidite değişiklikleri veya saldırıları gösteren desen tanımaları.
GMX'in sömürüye verdiği yanıt, tespitin hemen ardından etkilenen işlevselliği duraklatarak gerçekleşti. Bu, başlangıç kaybını önlemese de, daha fazla zararı durdurdu ve ekibe saldırganla müzakere etme zamanı kazandırdı. Devre kesiciler, tamamen protokol başarısızlıklarından, kontrol altına alınmış olaylara dönüşür.
Dezavantajı ise merkezileşmedir. Durdurma işlevleri, işlemleri durdurma yetkisine sahip güvenilir rolleri gerektirir ve bu durum DeFi'nin trustless (güven gerektirmeyen) idealine ters düşer. Eğer durdurma ayrıcalıkları ele geçirilirse, kötü niyetli aktörler protokolleri dondurarak piyasaları manipüle edebilir veya kullanıcıları şantaj yapabilir. Güvenlik ve merkezsizleşme arasında denge sağlamak çözülmemiş bir gerilimdir.
AI Tabanlı Anomali Tespiti
Yapay zeka ve makine öğrenimi, güvenlik için umut verici uygulamalar sunar. Modelleri, geçmiş sömürü verileri ve normal protokol davranış kalıpları üzerinde eğiterek, AI sistemleri insan analistlerin veya kurallara dayalı sistemlerin kaçırabileceği şüpheli işlemleri tanımlayabilir.
Hacken'in 2025 raporu, AI ile ilgili sömürülerde %1,025'lik bir artış olduğunu, ancak AI'nın savunma potansiyelini de vurguladığını belirtti. AI, sözleşme etkileşimlerini ölçekli olarak analiz edebilir, binlerce uç-vakayı simüle edebilir ve her yeni sömürüden öğrenerek tespiti geliştirebilir.
Ancak AI güvenliği kendi zorluklarıyla karşı karşıyadır. Adversarial (kötü niyetli) makine öğrenimi, saldırganların özellikle AI tespitinden kaçmak üzere tasarlanan sömürüler geliştirebilmesi anlamına gelir. Eğitim verisi yanlılığı kör noktalar yaratabilir. Ve bazı AI kararlarının "kara kutu" yapısı, belirli işlemlerin neden uyarılara yol açtığını anlamayı zorlaştırır.
Sürekli Denetim Çerçeveleri
Lansmandan önce tek seferlik denetimler yerine, OpenZeppelin ve Certora gibi projeler sürekli güvenlik incelemesine yöneliyor. OpenZeppelin'in Defender platformu sürekli izleme ve otomatik güvenlik operasyonları sağlar. Certora, kod doğruluğunu matematiksel olarak kanıtlayan biçimsel doğrulama hizmetleri sunar.
Biçimsel doğrulama altın standarttır. Sözleşme davranışlarını matematiksel spesifikasyonlar olarak ifade edip, teorik kanıtlayıcıları bu spesifikasyonları karşıladıklarını doğrulamak için kullanarak, biçimsel doğrulama test yoluyla bulunması imkansız hata sınıflarını tanımlayabilir. Örneğin, Curve Vyper açığı tekrarlı çağrı kilit davranışının biçimsel doğrulama deneyimi ile tespit edilebilirdi.
Sınırlama ise maliyet ve karmaşıklıktır. Biçimsel doğrulama özel uzmanlık gerektirir ve yüz binlerce dolara mal olabilir. Çoğu DeFi projesi böyle kapsamlı süreçleri finanse edemez. Ayrıca, biçimsel doğrulama yalnızca kodun spesifikasyonlarla eşleştiğini kanıtlar - spesifikasyonlar hatalar içeriyorsa (Bunni'de olduğu gibi), doğrulama yanlış bir güven sağlar.
Hata Ödülü Gelişimi
Hata ödülleri büyük bir değişim geçirdi. Immunefi, lider Web3 hata ödül platformu olarak 2025 itibarıyla güvenlik araştırmacılarına 100 milyon dolardan fazla ödeme yaptı. Kritik açıklar için ödüller artık düzenli olarak 1-2 milyon doları aşmakta, bazı protokoller en ciddi bulgular için 10 milyon dolara kadar ödüller sunmaktadır.
GMX vakası ortaya çıkan bir trendi sergiledi: protokoller, saldırganlara geriye dönük olarak ödüller sunuyor. Saldırganları yasal yollardan takip etmek yerine - kriptoparanın anonim karakteri nedeniyle pahalı, yavaş ve çoğu zaman boşuna olan bir yöntem - protokoller "beyaz şapka" anlaşmaları teklif ediyor. Çalınan fonların %90'ını iade edin, %10'unu ödül olarak alıp, yasal sonuçlarla karşılaşmayın.
Bu pragmatik yaklaşım, geleneksel yöntemlerle fonların geri kazanılmasının nadiren başarılı olduğunu kabul eder. Chainalysis verileri yalnızca çalınan kripto paranın yaklaşık %10'unun yasal yollarla kurtarıldığını göstermektedir. Gelişmiş saldırganları suçlu yerine hata ödülü avcısı olarak görmek geri kazanım oranlarını önemli ölçüde iyileştirir.
Eleştirmenler, bunun sömürüyü teşvik ettiğini savunuyorlar. Neden orta düzey ödüller için bildirilecek hataları arayalım ki milyonlarca dolar çalıp, %10'unu iade için müzakere edelim? Karşıt argüman ise, gelişmiş saldırganların zaten açıkları sömürebileceği ve Tornado Cash gibi karıştırıcılar aracılığıyla fonları aklayabileceğidir. Ödül basitçe her iki tarafa fayda sağlayan bir çıkış sağlar.
Blockchain Güvenlik İttifakı
Blockchain Güvenlik İttifakı gibi gruplar aracılığıyla sektör koordinasyonu, protokoller arasında tehdit istihbaratı ve en iyi uygulamaları paylaşmayı amaçlamaktadır. Bir protokol sömürüye uğradığında, saldırı detaylarının hızla yayılması diğerlerinin benzer güvenlik açıklarının kodlarında olup olmadığını kontrol etmelerini sağlar.
Bu kolektif yaklaşım, DeFi güvenliğini rekabet yerine işbirliği gerektiren bir alan olarak ele alır. Ancak koordinasyon sınırlı kalmaktadır. Protokoller genellikle kopya saldırılardan veya itibar kaybından korkarak sömürü detaylarını saklar. Rakip protokoller arasında gerçekten açık bilgi paylaşımı için yeterli güven oluşturmak zor kalmaktadır.
Uniswap V4 Etkisi: Özel Kancalar, Özel Riskler
Uniswap V4'ün 2024 sonundaki lansmanı, DEX mimarisinde - ve dolayısıyla güvenlik değerlendirmelerinde - bir paradigma değişimini temsil etti. Kancaların tanıtımı, likidite havuzlarının ömrünün kilit noktalarında özel mantığın enjekte edilmesini sağlayarak sınırsız özelleştirme olanağı verdi: alım satımlardan önce, alım satımlardan sonra, likidite eklenmeden önce, likidite kaldırıldıktan sonra ve daha fazlası.
Bu yetki muazzam olanaklar açığa çıkarır. Geliştiriciler, volatiliteye bağlı olarak ayarlanmış dinamik ücret yapıları oluşturabilir. Özel fiyatlandırma eğrileri, limit emirleri, zaman ağırlıklı ortalama piyasa yapıcıları, yoğunlaştırılmış likidite optimizasyonları ve daha önce otomatik piyasa yapıcılarında mümkün olmayan karmaşık stratejiler uygulayabilirler. Her havuz programlanabilir hale gelir, sadece yapılandırılabilir değil.
Bunni, bu potansiyelin bir örneğiydi. Uniswap V4 kancaları üzerine inşa edilen Bunni'nin Likidite Dağıtım Fonksiyonu, yüksek hacimli fiyat aralıklarına sermayeyi dinamik olarak tahsis ederek likidite sağlayıcılarına getiri optimizasyonunu otomatik olarak sağlamak istiyordu. Yenilik gerçekti - Bunni'nin teknolojisi 60 milyon dolar TVL çekti ancak karmaşıklık ölümcül oldu.
Güvenlik firması Hacken'in kanca analizi, bu mimarinin tanıttığı birden çok güvenlik açığını kategorize etti:
Yapılandırma Riskleri: Yanlış yapılandırılan kanca izinleri, başarısız takaslara, hizmet reddine veya beklenmedik davranışlara yol açabilir. Kancaların, düzeltmeleri gereken yaşam döngüsü noktalarını doğru bir şekilde belirtmesi gerekir. Hatalar kullanıcıları havuzlardan kilitleyebilir veya yetkisiz erişime olanak tanıyabilir.
Delta İşleme: Uniswap V4 özel bir muhasebe mekanizması kullanır, burada kancalar, takas yürütümünü etkileyen "deltalar" - bakiye değişiklikleri - döndürür. Yanlış delta hesaplamaları, fon tahsisini yanlış yönlendirir, manipülasyon ile hırsızlık yapılmasına olanak tanır veya takasları çökertir. Gerekli matematiksel hassasiyet, tipik akıllı sözleşme geliştirmesini aşar.
Asenkron Kancalar: Bazı kancalar, sadece parametreleri değiştirmek yerine, işlemler sırasında varlıkların tam mülkiyetini alır. Bu "asenkron kancalar", eğer kanca sözleşmesi tehlikeye girerse fonlar doğrudan erişilebilir hale gelir. Geleneksel Uniswap, takaslar boyunca kullanıcı mülkiyetini korumuştur. Kancalar bu güvenlik özelliğini bozabilir.
Erişim Kontrolü: Kancalar, durdurma, yükseltme, parametre değiştirme gibi ayrıcalıklı işlevleri içerebilir. Erişim kontrolleri zayıfsa veya anahtarlar tehlikeye girerse, saldırganlar kötü niyetli mantık enjekte edebilir veya fonları çalabilir. CertiK analizi, yükseltilebilir kancaların kullanıcı fonlarını tutmasının, yükseltme yetkiliklerinin tehlikeye girmesi durumu olduğunda özel bir risk oluşturduğunu belirtmektedir.
Bileşenleşme Patlamaları: Kancalar harici sözleşmelerle etkileşime girebilir ve bağımlılık zincirleri oluşturabilir. Herhangi bir harici sistemdeki bir güvenlik açığı, kanca aracılığıyla temel havuza yayılabilir. Her entegrasyon noktasıyla birlikte saldırı yüzeyi genişler.
Bunni'nin başarısızlığı, özel likidite dağıtım mantığıyla ilgili delta işleme karmaşıklığından kaynaklanıyordu. Çekimlerin hesaplanmasındaki yuvarlama hatası, ölçekli olarak yıkıcı hale gelen tam türde bir ince matematik hatasını temsil ediyordu. Geleneksel denetim bununla mücadelede zorlandı çünkü kancalar referans alabilecek yerleşik güvenlik açığı veritabanları olmayan yeni kod kalıplarını temsil ediyor.
Uniswap Vakfı'nın V4 belgeleri, güvenlik değerlendirmelerine vurgu yapsa da, kanca geliştiricilerinin kendi uygulamalarından sorumlu olduğunu kabul eder. Uniswap V4'ün temel sözleşmeleri dokuz bağımsız denetim geçirdi ve 15.5 milyon dolarlık bir hata ödülü yarışması düzenlendi. Temel katman güvenli. Ancak üzerine inşa edilen kancalar, kendi güvenilirliklerini sağlamalıdırlar.Güvenlik - birçok ekibin kaynak bulmakta zorlandığı bir meydan okuma.
Hook tabanlı protokollerin çoğalması, her biri özel mantığa sahip ve tek tek denetim gerektiren daha küçük projelerden oluşan uzun bir kuyruk oluşturur. Bu durum, güvenlik odağını birkaç ana protokol yerine düzinelerce veya yüzlerce uygulamaya bölerek dağıtır. Çeşitlilik yeniliği teşvik eder ama riski katlayarak artırır.
Bazı güvenlik uzmanları, geliştiricilerin uygun implementasyon hakkında pahalı dersler öğrendikçe, hookların 2025 ve 2026 boyunca yeni bir saldırı dalgası yaratacağını öngörüyor. Diğerleri ise OpenZeppelin'in hook implementasyonları gibi yaygın hook kalıplarının standardizasyonunun, yenilik riskini azaltan güvenli yapı taşları oluşturacağını düşünüyor.
Hukuki, Sigorta ve Politika Boyutları
DeFi kayıpları arttıkça, düzenleyici ve risk transfer mekanizmaları ortaya çıkıyor, ancak bunların etkinliği belirsizliğini koruyor.
Düzenleyici Baskı
Avrupa Birliği'nin 2024 yılında tam anlamıyla yürürlüğe giren Kripto Varlıklarda Piyasalar (MiCA) düzenlemesi, kripto hizmet sağlayıcıları için lisanslama gereklilikleri ve operasyonel standartlar belirliyor. MiCA öncelikle merkezi borsaları ve saklama hizmetlerini hedef alırken, operasyonel dayanıklılık ve güvenlik standartlarına dair hükümleri, DeFi protokolleri üzerinde dolaylı bir baskı oluşturuyor.
Mali Eylem Görev Gücü (FATF), admin anahtarları veya ücret değiştirme anahtarları gibi merkezi kontrol öğelerine sahip DeFi protokollerinin geleneksel finansal aracı kurumlar gibi düzenlenmesi gerektiğini vurgulayan rehberini güncelledi. Bu, güvenliği (bazı yönetimsel kontrol gerektiren) düzenleyici kaçınma (tam merkezsizleşme gerektiren) ile dengelemeye çalışan projeler için hukuki belirsizliğe neden oluyor.
ABD düzenleyicileri, SEC ve CFTC'nin yetki alanı için rekabet etmesi ve uyum gereklilikleri hakkında netlik sağlamadan dolayı daha az tutarlılık gösterdi. Düzenleyici belirsizlik, güvenlik yatırımını paradoksal bir şekilde caydırıyor - bir protokolün hukuki statüsü belirsizse, kurucular iş modelinin yasa dışı sayılabileceği durumda uyum ve güvenlik için kaynak harcama konusunda çekimser oluyor.
Zincir Üzerinde Sigorta
Nexus Mutual, Sherlock Protocol, ve Risk Harbor, akıllı sözleşme riskleri için merkezi olmayan sigorta sağlamakta öncülük ettiler. Kullanıcılar, belirli protokol saldırılarına karşı teminat satın alabiliyorlar. Bir saldırı meydana gelirse, talepler primler ve sermaye katkıları ile finanse edilen sigorta havuzlarından ödeniyor.
Bu sigorta protokollerinin kendi zorlukları bulunuyor. Sınırlı tarihsel veriye sahip hızla gelişen bir ortamda riski doğru şekilde fiyatlandırmak zorlaşıyor. Nexus Mutual'ın zarar oranları dalgalı - bazı dönemler minimum taleplerle, diğer dönemler büyük ödemelerle havuz rezervlerini zorlayan dönemler.
Sherlock'un modeli, güvenlik uzmanlarının sermaye yatırarak sigorta yazıcıları olarak hareket etmelerini içererek bunu çözmeye çalışıyor. Uzmanlar protokolleri denetler ve kendi fonlarını değerlendirmelerine güvenir; eğer keşfedilemeyen açıklar sömürüye yol açarsa, kendi sermayelerini tazminat ödemek için kullanılır. Bu, Sherlock'un Euler'e ödediği 4.5 milyon dolarlık ödeme ile gösterdiği gibi teşvikleri hizalar - Sherlock bahisçileri, denetim sırasında açığı kaçırmanın kaybını üstlendi.
Ancak sigorta, hala niş bir pazar. DeFi Llama verilerine göre, DeFi sigorta protokollerindeki toplam kilitli değer sadece yaklaşık 500 milyon dolar - DeFi'nin toplam TVL'sinin %0.1'inden az. Çoğu kullanıcı, ya farkındalık eksikliğinden ya maliyetten ya da açıkların kendilerini etkilemeyeceğine inandıkları için sigortasız kalıyor.
Hukuki Mesuliyet Soruları
Felsefi ve hukuki bir soru ortada duruyor: DeFi protokollerinin ihmalkârlık nedeniyle hukuki olarak sorumlu tutulması gerekir mi? Geleneksel finansal kurumlar, güvenlik zaafiyetleri nedeniyle davalar ve düzenleyici cezalarla karşı karşıya kalıyor. Sonuçta savunulabilir ama nihayetinde güvenlik açıkları olan bir kodu dağıtan geliştiriciler benzer bir sorumluluğa tabi olmalı mı?
Sorumluluk lehine olan argümanlar, kullanıcıları koruma ve güvenlik yatırımı teşvik etme içindir. Geliştiriciler ihmalkar tasarım nedeniyle bir sonuçla karşılaşmazsa, riskleri kullanıcılar üzerine yüklerler. Hukuki sorumluluk bu maliyetleri içselleştirir ve daha ayrıntılı güvenlik uygulamalarını teşvik eder.
Karşı argümanlar arasında yeniliğin boğulması ve açık kaynak ilkelerine ters düşmesi bulunuyor. DeFi protokolleri genellikle kullanıcıları riskler konusunda uyaran hizmet şartları aracılığıyla sorumluluktan açıkça feragat eder. Geliştiricileri istemsiz güvenlik açıklarından sorumlu tutmak, Web3 alanından yetenekleri tamamen uzaklaştırabilir. Ek olarak, birçok protokol gerçekten merkezsizdir ve hesap sorulacak belirgin bir hukuki varlık yoktur.
Bunni vakası bu gerilimi gösteriyor. Altı kişilik ekip, protokolü geliştirmek için yıllar harcadı, profesyonel denetimlerden geçti ve açığa kendi yatırımlarını kaybetti. Çok sayıda uzman tarafından kaçırılan bir mantık hatası nedeniyle hukuki sonuçlarla karşılaşmalılar mı? Yoksa teknoloji alanında deneme yanılma yöntemiyle çalışan bir ekip olarak yeniliği cezalandırmak yerine bir hata için anlaşılabilir bir hoşgörü mü göstermek gerekir?
Bu sorular, hukuki sistemlerin yüzyıllık çerçeveleri merkezsiz ağlara adapte etme mücadelesiyle büyük ölçüde cevaplanmamış durumda.
Zincir Üzeri Güvenliğin Geleceği
Önümüzde birkaç eğilim, önümüzdeki on yıl boyunca DeFi güvenliğini yeniden şekillendirebilir:
Doğrulanabilir Güvenlik Standartları
Sektör, sözleşme davranışını test etmeye dayanmak yerine kontrat davranışını garanti etmek için formal doğrulama ve matematiksel ispatlar kullanan "kanıtlanabilir doğruluk" yönünde ilerliyor. Runtime Verification ve Certora, formal doğrulamayı daha fazla proje için erişilebilir hale getiren araçlar inşa ediyorlar.
Gelecekte, kontratların güvenlik özelliklerinin kriptografik ispatlarına sahip olduğu bir dünya hayal edin. Kullanıcılar, etkileşime geçmeden önce SSL sertifikalarının web sitesi kimliğini kanıtlaması gibi, bu iddiaları doğrulayabilirler. İspatı olmayan protokoller, güvenlik endişeleri nedeniyle piyasa tarafından şüpheyle karşılanır ve katı doğrulama süreçlerini benimsemeleri için baskı yaratılır.
Bu, güvenlik özelliklerinin ve doğrulama yöntemlerinin standardizasyonunu gerektirir. Ethereum Foundation gibi kuruluşlar, bu tür standartları geliştirmeye çalışıyor ancak yaygın benimseme yıllar alabilir.
Merkezsiz Güvenlik Katmanları
Önerilen bir "DeFi Güvenlik Katmanı" - diğer protokolleri izleyen bir meta protokol - sistematik gözetim sağlayabilir. Her protokolün kendi güvenliğini uygulaması yerine, paylaşılmış bir altyapı anormallikleri tespit eder, yanıtları koordine eder ve bilgi paylaşımını kolaylaştırır.
Bunu, geleneksel finansın risk yönetimi altyapısına benzetebilirsiniz: kredi derecelendirme kuruluşları, denetçiler, düzenleyiciler ve sigorta, hepsi örtüşen güvenlik işlevleri sağlayarak birleşir. DeFi'nin, merkezi olmayan bağlamına uygun hale getirilmiş benzer çok katmanlı savunmalara ihtiyacı var.
Zorluklar arasında, güvenlik katmanının kendisinin bir arıza noktası haline gelmemesini sağlamak, merkeziyeti korurken etkin denetim sağlamak ve bu tür bir altyapı için sürdürülebilir ekonomik modeller yaratmak bulunuyor.
Rekabet Yoluyla Evrimsel Güvenlik
Piyasa güçleri belki de güvenlik iyileştirmelerini düzenlemelerden daha etkili bir şekilde yönlendirebilir. Kullanıcılar daha bilinçli hale geldikçe ve saldırı kayıpları arttıkça, sermaye güçlü güvenlik geçmişine sahip protokollere akmalıdır. Güvenliğe büyük yatırımlar yapan protokoller, risk bilincine sahip likiditeyi çekmede rekabet avantajları elde eder.
Bu evrim süreci zaten görülüyor. Aave, dikkatli güvenlik uygulamaları sayesinde büyük saldırılardan kaçınarak, güvenlik kayıtları lekeli rakiplerinden çok daha yüksek bir TVL'ye sahiptir. Kullanıcılar giderek, sermaye taahhüt etmeden önce denetim raporlarını ve güvenlik değerlendirmelerini kontrol ederler.
Bununla birlikte, bu süreç yavaş ve acı verici olup, birçok felaketin ders verilmesini gerektirir. Sektör, gerçekten büyük bir saldırıyı - milyarlarca kaybeden ve DeFi'nin yürütülebilirliğine olan ana akım güveni yok eden tek bir olayı - atlatamayabilir.
AI Destekli Savunma
Yapay zeka, hem saldırı hem de savunmada giderek artan bir rol oynaması muhtemeldir. AI, sözleşme kodunu güvenlik açıkları için analiz edebilir, sömürü senaryolarını simüle edebilir, şüpheli modeller için işlemleri izleyebilir ve hatta bazı güvenlik açığı sınıflarını otomatik olarak düzeltebilir.
Buna karşılık, saldırganlar, güvenlik açıklarını keşfetmek ve saldırılar düzenlemek için AI kullanacaklardır. Bu da her iki tarafın da giderek daha sofistike araçları kullanacağı bir silahlanma yarışına yol açar. Denge belki de asla sağlamlaşmaz, yerine savunucular ve saldırganların yeni AI yeteneklerini kullanmasıyla birlikte salınır.
Riski Gözeten Tasarıma Geçiş
Belki de en temel değişiklik, kusursuz güvenliğin imkansız olduğunu kabul etmek ve sistemleri kaçınılmaz hatalar karşısında dayanıklı olacak şekilde tasarlamaktır.
Bu, şu anlama gelir:
- Patlama alanını sınırlama: Bir havuz istismar edilirse, diğerleri etkilenmemelidir
- Zarif bozulma: Protokoller felaketle sonuçlanmak yerine güvenli bir şekilde başarısız olmalıdır
- Hızlı kurtarma mekanizmaları: Donmuş fonları çözmek veya kayıpları yeniden dağıtmak için prosedürler
- Şeffaf risk iletişimi: Kullanıcılar, ne riske attıklarını net bir şekilde anlamalıdır
DeFi ethosu "güvenilmez" köklerden "otomatik olarak güvenli" anlamına eğilimli olmuştur. Daha olgun bir yaklaşım, "güvenilmez" olarak "güven varsayımları hakkında şeffaf" olduğunu kabul eder. Kullanıcılar, hangi riskleri kabul edeceklerine bilgi temelinde karar verebilir.
Bunni'den ve Daha Fazlasından Dersler
Bunni DEX kapanışı, 2025'te merkeziyetsiz finansı tanımlayan, hırs ile uygulama arasındaki kalıcı boşluktan daha fazlasını temsil ediyor.
Protokolün hikayesi birkaç uyarıcı ders içeriyor. İlk olarak, yenilik ve risk ayrılmaz. Bunni'nin Likidite Dağıtım Fonksiyonu, otomatik market yapıcı tasarımında gerçek bir ilerlemeyi temsil ediyordu. Onu yenilikçi yapan karmaşıklık aynı zamanda savunmasız yapıyordu. Yenilik için net bir yol yoktur; bu, sektörün açıkça kabul etmesi ve denetim üzerine saklanmak yerine günlükleştirilmesi gereken bir gerçektir.İçerik: Rozetler
İkincisi, denetimler sınırlı koruma sağlar. Trail of Bits ve Cyfrin, birçok protokolde milyarlarca dolarlık değeri güvence altına almış saygın firmalardır. Bunni'nin güvenlik açığını yakalayamamalarının sebebi, beceriksizlik değil, denetim metodolojisinin temel sınırlamalarıdır. Mantık seviyesindeki anlamsal hatalar geleneksel denetimlerden kaçmaya devam edecektir. Sektörün denetimlerin ötesinde ek güvenlik katmanlarına ihtiyacı var.
Üçüncüsü, DeFi güvenliğinin ekonomisi bozulmuş durumda. Bunni, güvenli bir şekilde yeniden başlatılması için gereken altı ile yedi haneli maliyeti karşılayamıyordu. Ancak sektör, toplu olarak saldırılara milyarlar kaybediyor. Bu kopukluk, bireysel projelerin, toplam kayıpların büyük yatırımları haklı çıkaracağı durumlarda bile güvenliğe yeterince yatırım yapmadığı sistematik bir pazar başarısızlığını gösteriyor. Çözümler muhtemelen toplu eylem gerektirecek - paylaşılan güvenlik altyapısı, ortak sigorta veya düzenleyici gereklilikler.
Dördüncüsü, insan faktörleri teknik olanlardan daha üstün. Bunni'nin ekibi yetenekli ve iyi niyetliydi. En iyi uygulamaları takip ettiler ve denetimlere yatırım yaptılar. Başarısızlık, kötü niyet veya beceriksizlik değil, karmaşık sistemler kurmanın doğal hatalardan kaçınmaktaki zorluklarıydı. Bireyleri suçlamak durumu kaçırıyor - sistemin kendisi, insanların tespit edip onarmasından daha hızlı güvenlik açıkları oluşturuyor.
Doug Colkitt'in KyberSwap saldırısıyla ilgili belirttiği gibi, bazı saldırılar öyle bir karmaşıklığa ulaşır ki, bunları önlemek temel mimaride değişiklikler olmadan imkansız olabilir. KyberSwap saldırganı, protokolün kendi geliştiricileriyle yarışacak uzmanlık gösterdi. Saldırganlar ve savunucular eşdeğer beceriye sahip olduğunda, savunucular asimetrik bir dezavantajla karşı karşıya kalırlar - tüm olası saldırıları tahmin etmeleri gerekirken, saldırganlar sadece gözden kaçırılmış bir açıyı bulmak zorundadırlar.
2025'in eksploits'leri genelinde ortaya çıkan birkaç tekrar eden tema ortaya çıkıyor:
Force Çarpanlar Olarak Flash Loans: Neredeyse her büyük saldırı, etkisini artırmak için flaş kredileri kullandı. DeFi, geçerli işlevselliği ortadan kaldırmadan flaş kredi kötüye kullanımını engellemek için daha iyi mekanizmalar geliştirmedikçe, bu saldırı vektörü varlığını sürdürecektir.
Kompozisyon Olarak Bileşik Risk: Birçok harici sistemle entegre olan protokoller, tüm güvenlik açıklarını miras alır. Balancer, Angle ve Idle Finance'i etkileyen Euler bulaşıklığı, bağlantılı DeFi'nin kayıpları nasıl arttırdığını gösterdi. Protokoller arasında daha iyi izolasyon ve daha sağlam hata modlarına ihtiyaç var.
Derleyici Güven Sorunu: Curve Vyper güvenlik açığı, mükemmel düzeydeki protokol kodunun bile altta yatan araçlarda hatalar varsa başarısız olabileceğini gösterdi. Sektör, sadece uygulama düzeyindeki sözleşmeler değil, tüm yığını - derleyiciler, kütüphaneler, geliştirme çerçeveleri - güvence altına almak için yatırım yapmalıdır.
Hızlı Tepki Önemlidir: GMX'in beyaz şapka ödülü sunarak ve Balancer'ın proaktif güvenlik açığı açıklamasıyla başarılı bir şekilde toparlanması, hızlı ve şeffaf tepkilerin zararları sınırlayabileceğini ve kullanıcı güvenini sürdürebileceğini gösterdi. Protokollerin kriz yönetimi prosedürleri ve iletişim stratejileri önceden hazırlanmış olmalıdır.
Pazar Hafızası Kısadır: Tekrarlanan saldırılara rağmen, DeFi büyümeye devam ediyor. 2025'in ortalarında kilitlenen toplam değer 90 milyar doları aştı ve milyarlarca dolarlık kayıplara rağmen tekrar yükseldi. Bu durum ya kullanıcıların riski bu alana özgü olarak kabul ettiğini ya da çoğu katılımcının önceki başarısızlıkların tarihsel farkındalığından yoksun olduğunu gösteriyor. Her iki olasılık da uzun vadeli ekosistem sağlığı için endişe verici.
Sayılar kurulmaya çalışıldığı zaman, resim karışıktır. Hayden Adams, Uniswap'in kurucusu, güvenliğin "birinci sınıf bir endişe" haline gelmesi gerektiğini vurgulamıştır, bu bir son düşünce değil. Ancak onun kendi V4 mimarisi, kapsamlı denetimlerden geçmiş olmasına rağmen, kancalar yoluyla yeni saldırı yüzeyleri tanıtıyor. Yenilik ve risk, hala birlikte ilerliyor.
Samczsun, belki de Web3'ün en saygı duyulan güvenlik araştırmacısı, DeFi'nin karmaşıklığının güvenlik altyapısını geçtiği konusunda defalarca uyardı. Büyük protokoller arasında güvenlik açıklarını ortaya çıkarma çalışmaları, hem sorunların ne kadar yaygın olduğunu hem de yetenekli güvenlik araştırmacılarının ne kadar gerekli olduğunu göstermektedir.
Nihai soru hala cevapsız: DeFi gerçekten güvenli hale getirilebilir mi, yoksa onun açıklığı temelde güvenlikle uyumsuz mu? Geleneksel finans, güvenliği kapı bekçiliği, düzenleme ve merkezi kontrol ile sağlar. DeFi, açıklığa, izinsizliğe ve merkeziyetsizliğe ilham verir. Bu hedefler matematiksel olarak çelişkili olabilir - sistemler daha açık ve birleşik hale geldikçe, illa ki daha savunmasız hale gelirler.
Belki doğru soru "DeFi güvenli hale getirilebilir mi?" değil, "DeFi'nin sağladığı faydalar için kabul edilebilir güvensizlik seviyesini ne oluşturur?" olmalıdır. 2025'teki kullanıcılar, bilinen risklere rağmen DeFi'yi tercih etmeye devam ediyor çünkü sansür direnci, küresel erişim ve yeni finansal primitifler için değer veriyorlar. Bu faydaların bedeli olarak, güvenlik açığını kabul etme kararı (bazı durumlarda bilinçsiz) ile alınıyor.
DeFi'nin olgunlaşması için, kullanıcıların neyi kabul ettikleri konusunda daha net bilgilere ihtiyaçları var. Protokoller, güvenlik metriklerini belirgin bir şekilde göstermelidir: denetim raporları, son güvenlik incelemesinden bu yana geçen süre, bilinen uç vakalara dayalı olarak risk altındaki toplam kilitlenen değer, mevcut sigorta kapsama alanı. Pazarlar, tüm protokoller eşit derecede güvenliymiş gibi davranmak yerine riski uygun bir şekilde fiyatlayabilir.
Geliştiriciler, mükemmel güvenliğin imkansız olduğunu kabul etmeli ve başarısızlıkla birlikte tasarım yapmalıdır. Devre kesiciler, fon izolasyonu, yükseltme yolları ve kurtarma mekanizmaları standart özellikler olmalıdır, isteğe bağlı eklemeler değil. Soru "Tüm saldırıları nasıl önleriz?" den "Kaçınılmaz saldırılar gerçekleştiğinde zararı nasıl en aza indiririz?"e dönüşüyor.
Sonuç: Gerçekte Ne Değişmeli
2025'in ilk yarısında kaybedilen 3,1 milyar dolar, sadece rakamlardan fazlasını temsil ediyor - kesintiye uğramış yaşamları, yok olan güveni ve engellenmiş yeniliği temsil ediyor. Her saldırı, ana akım benimsemeyi biraz daha ileri iter ve yeniliği tamamen öldürebilecek ağır düzenlemeler için argümanları güçlendirir.
Kullanıcılar için reçete açıktır ancak tatmin edici değildir: Her protokolde güvenlik açıklarının var olduğunu varsayın, varlıkları birden fazla platforma çeşitlendirin, saldırı tarihlerini takip edin, sigorta kullanın ve kaybetmeyi göze alamayacağınız fonları asla riske atmayın. DeFi, şu anki haliyle, katılımcıların bir deneye katılıp katılmadıklarını anlayan risk toleranslı kullanıcılar içindir.
Geliştiriciler için, güvenliğin bir sonradan düşünce olamayacağı gerçeğini kabul etmek meydan okumadır. Protokoller, toplam geliştirme maliyetlerinin belki de %20-30'unu güvenlik önlemlerine ayırmalıdır. Bu, birden fazla bağımsız denetim, mümkün olan yer formel doğrulama, sürekli izleme, hızlı yanıt kabiliyetleri ve düzenli güvenlik güncellemeleri içerir. Bunu karşılayamayan projeler var olup olmamaları gerektiğini sorgulamalıdır.
Sektör için kolektif olarak, koordinasyon şarttır. Paylaşılan güvenlik altyapısı, standartlaştırılmış denetim metodolojileri, güvenlik açıkları hakkında açık iletişim ve ortak sigorta mekanizmaları, bireysel projelerin güvenliğe az yatırım yapmasına neden olan pazar hatalarını ele almaya yardımcı olur. Merkeziyetsiz çalışan bir finans sistemi oluşturmak için bazı güvenlik işlevlerinin merkezileştirilmesi gerekebilir.
Düzenleyiciler için, DeFi’ye geleneksel finansal düzenlemeleri dayatma isteği, yeniliğin bir miktar risk toleransı gerektirdiğini kabul ederek dengelenmelidir. Akıllı düzenleme, kullanıcıları riskler hakkında anlamalarını sağlamak ve ihmalkarlık net olduğunda sorumluluk çerçevesi sağlamak üzere odaklanmalıdır. Ağır yasaklayıcı tutumlar, sadece DeFi'yi düzenlenmemiş yargılara iterek durumu kötüleştirir.
Bunni ekibinin son açıklaması trajediyi şu cümlelerle özetledi: "DeFi'de inşa etmek ve sektörü ileriye taşımak konusunda tutkulu 6 kişilik küçük bir ekibiz. Bunni'yi başlatmak için yıllarımızı ve milyonlarca dolarımızı harcadık çünkü AMM'lerin geleceği olduğuna kesin olarak inanıyoruz." İnançları doğru olabilir - otomatik piyasa yapıcılar bir gün trilyonlarca dolar değer işleyebilir. Ancak buradan oraya ulaşmak, sektörün en parlak zihinlerinin hala kaçırdığı güvenlik sorunlarının çözülmesini gerektiriyor.
2025'in geri kalanı ve 2026'ya doğru ilerlerken, soru, DeFi'nin ekosistemi aşırı yüklemesine izin veren daha da karmaşık saldırıları önlemek için yeterince hızlı olgunlaşabilecek midir? Güvenilmez finansı olanaklı kılan teknoloji, aynı zamanda merkezi sistemlerin hiç karşılaşmadığı yeni güvenlik açıkları yaratıyor. Bu, muhtemelen kaçınılmaz bir alışveriştir. Ya da belki formel doğrulama, yapay zeka destekli savunma ve güvenlik altyapısındaki atılımlar sonunda güvenlik yönünde dengeyi değiştirecektir.
Kesin olan şudur ki; yıllık milyarlarca kayıpla birlikte güvenliğin bir sonradan düşünce olmaya devam etmesi sürdürülemez. DeFi ya hızla evrilmeli ya da alakasız hale gelmeli. Seçim, merkeziyetsiz finansın insanlığın mali geleceğini mi yoksa güvenilmez sistemler inşa etme konusunda başarısız bir deneyi mi temsil ettiğini kolektif olarak belirleyen geliştiricilere, kullanıcılara ve yatırımcılara aittir.