DeFi kayıpları 2022 zirvesinden bu yana keskin bir düşüş gösterdi, ancak yeni bir risk türü ortaya çıkıyor – bu, fonları aynı anda birden fazla zincirden boşaltabilen bir risk. Sektör genelindeki protokol kayıpları, 2022'de 2,62 milyar dolardan 2024'te 534 milyon dolara düştü, bu da DeFi güvenliğinde önemli bir iyileşmeyi gösteren %80'lik bir düşüş.
Bir zamanlar milyarlarca dolarlık soygunların arkasındaki başrol oyuncuları olan köprü istismarları, artık toplam DeFi kayıplarının yalnızca küçük bir kısmını oluşturuyor. Özellikle, 2022'de dokuz köprü hack'iyle kaybedilen 1,9 milyar dolar – Ronin Bridge'in kötü şöhretli 624 milyon dolarlık ihlali dahil – 2025'e kadar kayıpların yalnızca %3'üne düştü.
Bu kulağa güvence verici gelse de, daha yeni ve daha sinsi bir tehdidi düşündüğünüzde: aynı kod tabanlarının birden fazla zincire tekrar tekrar dağıtılması. Bu mimari kolaylık, tek bir kodlama hatasını çok sistemli bir zafiyete dönüştürür. Örnek: Geçen Kasım ayında Balancer V2 Composable Stable Pools'tan 128 milyon dolarlık boşaltma, aynı anda altı blok zincirini – Ethereum, Arbitrum, Base, Polygon, OP Mainnet ve Sonic – vurdu.
Suçlu, saldırganların token bakiyelerini yuvarlama sınırlarına değerler iterek manipüle etmelerine ve ardından fonlar tamamen boşaltılana kadar küçük hataları zincirleme takaslarla büyütmelerine olanak tanıyan bir aritmetik hassasiyet hatasıydı. Hata, modern DeFi zafiyetlerinin inceliğini ve karmaşıklığını vurgulayarak on bir güvenlik denetiminden sağ çıktı.
Olay başına düşen ortalama kayıp 2022'de 6 milyon dolardan 2025'te 1,5 milyon dolara düşerken, bireysel istismarların sayısı – geçen yıl 83 – aslında arttı. Bu desen, olgunlaşan bir güvenlik ortamını gösteriyor: saldırılar sık kalıyor ancak daha az hasara neden oluyor.
Bununla birlikte, risk ortadan kalkmak yerine dönüşüyor. Çok sistemli istismarlar kod çoğaltma yoluyla uygulanabilir hale geldikçe, saldırı yüzeyi genişliyor ve yalnızca projeleri değil, tüm ekosistemleri kapsayan sistemik şokları tetikleyebiliyor.
Yatırımcılar ve geliştiriciler bu tür zincirler arası dağıtım zafiyetlerini izlemelidir. Balancer vakası bir emsal teşkil ediyor: yalnızca denetim kapsamı yeterli değil. Savunma stratejilerinin, temel kontrollerin ötesine geçerek desteklenen tüm zincirlerdeki paylaşılan kod tabanlarını analiz etmesi gerekecek.
Ethereum, bu istismarların çoğunun ortaya çıktığı merkez olmaya devam ediyor, bu da onun güvenlik gelişmelerini özellikle ilgili kılıyor. Yatırımcılar, özellikle protokoller birden fazla Layer-2 veya yan zincire kod kopyaladığında, yaklaşan protokol güncellemelerini ve yama döngülerini dikkatlice takip etmelidir.
DeFi, çok zincirli ortamlarda daha derin kökler saldıkça, bir sonraki büyük istismarlar artık tek zincirli köprü arızalarıyla ilgili olmayabilir, ancak tek bir paylaşılan hatanın tetiklediği eşzamanlı çökmelerle ilgili olabilir. Bu, gerçekten zincirler arası dayanıklı kodlar oluşturmada denetim firmaları ve protokol ekipleri için riskleri artırıyor.
DeFi Kayıpları Azaldı, Ancak Tek Kod Hatası Altı Zinciri Vurabilir
DeFi ekosistemindeki toplam kayıplar 2022'den bu yana %80 azalarak daha güvenli hale geldi. Ancak, tek bir kod hatasının aynı anda altı farklı blok zincirini etkileyebileceği yeni bir risk türü ortaya çıkıyor.