Merkezi Olmayan Finans güvenlik risk yönetimi çerçevesinin incelenmesi
Merkezi Olmayan Finans(DeFi) protokolleri, akıllı sözleşmeler aracılığıyla varlık ticareti, borç verme, sigorta ve türevler gibi çeşitli finansal hizmetleri gerçekleştirmiştir. Bu protokoller, merkeziyetsiz ve otomatik çalışma özelliklerine sahiptir, üçüncü taraf kuruluşların yönetim ve bakımına ihtiyaç duymaz. Ancak bu durum, sözleşmelerin risk yönetimini sektörde karşılaşılan büyük bir zorluk haline getirmiştir.
Merkezi Olmayan Finans alanı hem finans hem de teknoloji özelliklerini taşımaktadır, başlıca şu tür riskler bulunmaktadır:
Kod Riski: Ethereum'un alt kodu, akıllı sözleşme kodu ve cüzdan kodu gibi alanlardaki potansiyel sorunları içerir. Tarihte DAO olayı, çeşitli DEX güvenlik açıkları ve farklı cüzdanların çalınması gibi olaylar, kod riskinden kaynaklanmıştır.
İş Riskleri: Temelde iş tasarımı sürecinde bulunan açıkları ifade eder; bu açıklar, saldırganlar tarafından mantıklı bir şekilde kullanılabilir veya manipüle edilebilir. Örneğin, FOMO3D'nin tıkanma saldırısına uğraması ve belirli bir kredi platformunun güvensiz fiyat oracle'ları kullanması nedeniyle saldırganlar tarafından istismar edilmesi. Bu tür saldırganlar genellikle "arbitrajcılar" olarak adlandırılır ve DeFi projeleri üzerinde hem olumlu hem de olumsuz etkileri vardır.
Piyasa dalgalanma riski: Bazı Merkezi Olmayan Finans projeleri tasarlanırken aşırı piyasa koşullarını yeterince dikkate almamış, bu da şiddetli dalgalanmalarda pozisyonların zorlanmasına neden olabilir. 12 Mart 2020'de bir stabilcoin projesinin karşılaştığı sorun, tipik bir örnektir.
Oracle Riski: Çoğu Merkezi Olmayan Finans projesinin altyapısı olarak, oracle'lar saldırıya uğrarsa veya çalışmayı durdurursa, bunların verilerine bağımlı olan DeFi uygulamalarının çökmesine neden olacaktır. Gelecekte, oracle'lar DeFi ekosistemindeki en kritik altyapı haline gelebilir ve merkezileşme riski taşıyan herhangi bir oracle nihayetinde elenebilir.
"Teknik Temsilci" riski: Merkezi bir ekip tarafından geliştirilen pratik araçları kullanan, akıllı sözleşmeler ve blok zinciri teknolojisine aşina olmayan sıradan kullanıcıların karşılaşabileceği potansiyel riskleri ifade eder.
Merkezi Olmayan Finans projeleri tasarlarken, yukarıda belirtilen risk faktörlerini dikkate almak önemlidir. Belgelerde risk uyarıları sunmanın yanı sıra, bazı Risk Yönetimi önlemleri de alınmalıdır. Bu önlemler çoğunlukla merkeziyetsiz bir şekilde uygulanmakta ve bir kısmı topluluk yönetimi (özellikle zincir üstü yönetim) aracılığıyla gerçekleştirilmektedir. Aşağıda, önceden, sırası ve sonrasında üç aşamaya ayrılmış bir Merkezi Olmayan Finans risk yönetimi çerçevesi bulunmaktadır:
Önceden: Sözleşme kodunun biçimsel doğrulamasını gerçekleştirmek, sözleşmenin kullanılan yöntemlerini, kaynaklarını ve talimatların sınırlarını açıkça belirlemek ve bu unsurların birleşim sürecindeki karşılıklı etkilerini incelemek. Yeterince argüman sunulmamış yöntemler veya sınırları belirlenmemiş birleşimler kullanılmamalıdır. Bu yöntem, geleneksel yazılım testi düşüncesinden çok matematiksel kanıtlara daha yakındır.
Olay sırasında: Ana odak, durdurma mekanizmasının ve anormal tetikleme mekanizmasının tasarımıdır. Sözleşme, saldırı davranışlarını tanıyabilmeli ve müdahale edebilmelidir, bu da otomatik durdurma ve yönetim durdurma tasarımını içerir. Anormal tetikleme ise, sözleşmenin çalışması sırasında beklenmedik fenomenlerin kontrol yönetimidir, genellikle otomatik olarak uygulanır ve risk yönetimi değişkenlerini ayarlamak için kullanılır.
Sonrası: Birden fazla yönü içerir. İlk olarak, zincir üzerindeki yönetişim (DAO) aracılığıyla kod açıklarının düzeltilmesi. İkincisi, yönetişim varlıkları saldırıya uğrarsa, sözleşme çatallaması yapılması gerekebilir. Ayrıca, potansiyel kayıpları azaltmak için sigorta mekanizmaları kullanılabilir ve zincir üzerindeki veriler aracılığıyla ilgili kurumlarla işbirliği yapılarak kayıpların geri alınması sağlanabilir.
Şu anda, sektörde Merkezi Olmayan Finans'ın güvenliği hakkındaki anlayış hala oldukça temel bir aşamadadır. Gelecekteki gelişmelere uyum sağlamak için sınır, bütünlük, tutarlılık, biçimsel doğrulama, duraklama, olağanüstü tetikleme, yönetim ve çatallama gibi yeni kavramlar ve düşünceler getirilmelidir. Ancak düşünce yapısını değiştirmek, Merkezi Olmayan Finans alanındaki güvenlik zorluklarıyla daha iyi başa çıkmak için gereklidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Likes
Reward
18
6
Share
Comment
0/400
CommunityJanitor
· 17h ago
Regülasyon ne kadar sıkı olursa olsun enayilerin kararlılığını engelleyemez.
View OriginalReply0
DEXRobinHood
· 07-29 07:58
akıllı sözleşmeler beni başım dönecek şekilde kandırdı
View OriginalReply0
SerumSquirter
· 07-28 16:13
Kodlar sıkı kontrol altında tutuluyor, buna rağmen bu kadar çok sorun çıkıyor.
View OriginalReply0
ConsensusBot
· 07-28 16:10
Güvenlik riski gerçekten tekrar tekrar Emiciler Tarafından Oyuna Getirilmek.
View OriginalReply0
NftDeepBreather
· 07-28 16:02
Bu kadar konuşmanın sebebi, hâlâ Rug Pull hızının yeterince hızlı olmadığını düşünmek.
Merkezi Olmayan Finans güvenliği yönetimi için yeni bir yaklaşım: Önceden doğrulama, esnasında müdahale, sonrasında düzeltme
Merkezi Olmayan Finans güvenlik risk yönetimi çerçevesinin incelenmesi
Merkezi Olmayan Finans(DeFi) protokolleri, akıllı sözleşmeler aracılığıyla varlık ticareti, borç verme, sigorta ve türevler gibi çeşitli finansal hizmetleri gerçekleştirmiştir. Bu protokoller, merkeziyetsiz ve otomatik çalışma özelliklerine sahiptir, üçüncü taraf kuruluşların yönetim ve bakımına ihtiyaç duymaz. Ancak bu durum, sözleşmelerin risk yönetimini sektörde karşılaşılan büyük bir zorluk haline getirmiştir.
Merkezi Olmayan Finans alanı hem finans hem de teknoloji özelliklerini taşımaktadır, başlıca şu tür riskler bulunmaktadır:
Kod Riski: Ethereum'un alt kodu, akıllı sözleşme kodu ve cüzdan kodu gibi alanlardaki potansiyel sorunları içerir. Tarihte DAO olayı, çeşitli DEX güvenlik açıkları ve farklı cüzdanların çalınması gibi olaylar, kod riskinden kaynaklanmıştır.
İş Riskleri: Temelde iş tasarımı sürecinde bulunan açıkları ifade eder; bu açıklar, saldırganlar tarafından mantıklı bir şekilde kullanılabilir veya manipüle edilebilir. Örneğin, FOMO3D'nin tıkanma saldırısına uğraması ve belirli bir kredi platformunun güvensiz fiyat oracle'ları kullanması nedeniyle saldırganlar tarafından istismar edilmesi. Bu tür saldırganlar genellikle "arbitrajcılar" olarak adlandırılır ve DeFi projeleri üzerinde hem olumlu hem de olumsuz etkileri vardır.
Piyasa dalgalanma riski: Bazı Merkezi Olmayan Finans projeleri tasarlanırken aşırı piyasa koşullarını yeterince dikkate almamış, bu da şiddetli dalgalanmalarda pozisyonların zorlanmasına neden olabilir. 12 Mart 2020'de bir stabilcoin projesinin karşılaştığı sorun, tipik bir örnektir.
Oracle Riski: Çoğu Merkezi Olmayan Finans projesinin altyapısı olarak, oracle'lar saldırıya uğrarsa veya çalışmayı durdurursa, bunların verilerine bağımlı olan DeFi uygulamalarının çökmesine neden olacaktır. Gelecekte, oracle'lar DeFi ekosistemindeki en kritik altyapı haline gelebilir ve merkezileşme riski taşıyan herhangi bir oracle nihayetinde elenebilir.
"Teknik Temsilci" riski: Merkezi bir ekip tarafından geliştirilen pratik araçları kullanan, akıllı sözleşmeler ve blok zinciri teknolojisine aşina olmayan sıradan kullanıcıların karşılaşabileceği potansiyel riskleri ifade eder.
Merkezi Olmayan Finans projeleri tasarlarken, yukarıda belirtilen risk faktörlerini dikkate almak önemlidir. Belgelerde risk uyarıları sunmanın yanı sıra, bazı Risk Yönetimi önlemleri de alınmalıdır. Bu önlemler çoğunlukla merkeziyetsiz bir şekilde uygulanmakta ve bir kısmı topluluk yönetimi (özellikle zincir üstü yönetim) aracılığıyla gerçekleştirilmektedir. Aşağıda, önceden, sırası ve sonrasında üç aşamaya ayrılmış bir Merkezi Olmayan Finans risk yönetimi çerçevesi bulunmaktadır:
Önceden: Sözleşme kodunun biçimsel doğrulamasını gerçekleştirmek, sözleşmenin kullanılan yöntemlerini, kaynaklarını ve talimatların sınırlarını açıkça belirlemek ve bu unsurların birleşim sürecindeki karşılıklı etkilerini incelemek. Yeterince argüman sunulmamış yöntemler veya sınırları belirlenmemiş birleşimler kullanılmamalıdır. Bu yöntem, geleneksel yazılım testi düşüncesinden çok matematiksel kanıtlara daha yakındır.
Olay sırasında: Ana odak, durdurma mekanizmasının ve anormal tetikleme mekanizmasının tasarımıdır. Sözleşme, saldırı davranışlarını tanıyabilmeli ve müdahale edebilmelidir, bu da otomatik durdurma ve yönetim durdurma tasarımını içerir. Anormal tetikleme ise, sözleşmenin çalışması sırasında beklenmedik fenomenlerin kontrol yönetimidir, genellikle otomatik olarak uygulanır ve risk yönetimi değişkenlerini ayarlamak için kullanılır.
Sonrası: Birden fazla yönü içerir. İlk olarak, zincir üzerindeki yönetişim (DAO) aracılığıyla kod açıklarının düzeltilmesi. İkincisi, yönetişim varlıkları saldırıya uğrarsa, sözleşme çatallaması yapılması gerekebilir. Ayrıca, potansiyel kayıpları azaltmak için sigorta mekanizmaları kullanılabilir ve zincir üzerindeki veriler aracılığıyla ilgili kurumlarla işbirliği yapılarak kayıpların geri alınması sağlanabilir.
Şu anda, sektörde Merkezi Olmayan Finans'ın güvenliği hakkındaki anlayış hala oldukça temel bir aşamadadır. Gelecekteki gelişmelere uyum sağlamak için sınır, bütünlük, tutarlılık, biçimsel doğrulama, duraklama, olağanüstü tetikleme, yönetim ve çatallama gibi yeni kavramlar ve düşünceler getirilmelidir. Ancak düşünce yapısını değiştirmek, Merkezi Olmayan Finans alanındaki güvenlik zorluklarıyla daha iyi başa çıkmak için gereklidir.