Röportaj | Stablecoin güvenliği zamana karşı bir yarış: Immunefy CEO'su

Mitchell Amador, Immunefi'nin CEO'su, güvenlik firmalarının stablecoin'lerdeki bir sonraki milyar dolarlık istismarı önlemek için nasıl yarıştığını açıklıyor. Özet

• Stablecoin benimsemesi patladıkça, güvenlik alt yapısı hızla gelişmekte zorlanıyor.
• Denetlenen projelerin %90'ından fazlasında kritik güvenlik açıkları vardı, diyor Immunefy CEO'su.
• Çoğu proje, güvenlik duvarları gibi anahtar güvenlik özelliklerini kullanmıyor.

Kripto ana akıma doğru ilerlerken, stablecoin'ler zincir içi ekonominin finansal belkemiği haline geliyor. Ancak, sermaye akışı devam ederken, bu sistemlerin temelini oluşturan güvenlik altyapısı tehlikeli bir şekilde yetersiz kalıyor.

Web3 güvenlik firması Immunefi'nin CEO'su Mitchell Amador, “zamana karşı bir yarış içindeyiz” diyor. Bu röportajda, stablecoin sistemlerinin içindeki gerçek riskleri, çoğu kurumun neden bir sonraki milyar dolarlık istismara hazır olmadığını ortaya koyuyor.

Crypto.news: Stabilcoinler konusunda mevcut güvenlik durumu hakkında bana ne söyleyebilirsin?

Mitchell Amador: Yeni bir dünyada yaşıyoruz. Son birkaç yılda kullandığımız güvenlik önlemlerinin gerçekten işe yarayıp yaramadığını ancak şimdi öğrenmeye başlıyoruz.

Bir yandan, uzun zamandır büyük bir stablecoin hack'i görmedik. Erken DeFi hack'leri gibi olaylara ya da Silicon Valley Bank çöküşü sırasında USDC'nin depegging'i gibi sorunlara bakabilirsiniz — bunlar ciddi olaylardı, ama o büyüklükte başka bir şey yaşamadık.

İnsanlar stablecoin güvenliği hakkında oldukça iyi hissediyorlar. Ama gerçek şu ki: şeylerin gerçekten güvenli olup olmadığını bilmiyoruz. Bir kıyaslama yapmak gerekirse, MakerDAO, Aave veya Compound gibi bir şeye güven duymak için ne kadar zaman geçtiğini düşünün. Kullanıcıların bu güveni inşa etmeleri yıllar aldı. Stablecoin'ler, özellikle merkeziyetsiz olanlar, hala bu protokollerden daha az olgun.

Önümüzdeki birkaç yıl içinde sisteme başka bir trilyon dolar stablecoin likiditesi eklemek üzereyiz. Gerçek soru şu: Bu kadar değeri felaket bir başarısızlık olmadan absorbe etmeye hazır mıyız? Bunun yanıtını henüz bildiğimizi düşünmüyorum — ve bunu zor yoldan öğrenebiliriz.

CN: Özellikle hacking riskleri hakkında ne düşünüyorsunuz?

MA: En çok endişelendiğim risk bu. Finansal istikrarsızlık olaylarını — sabitliklerin bozulması, kaldıraçların geri çekilmesi, hatta kurtarmalar — gördük ve bunları nasıl yöneteceğimizi biliyoruz. Ama hack'lerle, her zaman bir kara kuğu faktörü var.

Stablecoin'ları hedef alan büyük bir hack, kriptonun tümünün meşruiyetini sarsabilir. Düşünün ki, birkaç yüz milyar doları etkileyen bir akıllı sözleşme açığı var — ya da diğer protokolleri destekleyen bir ana stablecoin varlığında bir hata. Bu bir bilim kurgu değil. Mümkün.

Immunefi'nin bakış açısına göre, denetlediğimiz projelerin %90'ından fazlasında kritik güvenlik açıkları var — stablecoin sistemleri de dahil. İyi haber şu ki, çok fazla ilerleme kaydettik. Birkaç yıl önce, çalıştığımız neredeyse her proje birkaç yıl içinde bir ihlal yaşıyordu. Bugün, bu oran yarıdan daha az — hala yüksek, ama bir iyileşme.

Yine de, aslında tüm ekosistemi hazır olmayabilecek bir koda bahse giriyoruz. Ve bunun gerçekten test edilmeden ne olacağını bilemeyeceğiz. Bunu bir geri sayım saati gibi düşünüyorum. USDC veya USDT gibi bir stablecoin dağıtıldığından itibaren, kritik bir istismar riski geri sayımına başlıyor.

Sözleşme daha karmaşık hale geldikçe ve daha fazla özellik kazandıkça, risk artar. Bu arada, saatin diğer tarafında, güvenlik altyapısını geliştirmek için yarışıyoruz — hata ödülleri, güvenlik duvarları, AI tabanlı zafiyet tarayıcıları, kara liste araçları. Bunlar, bu geri sayımına “zaman eklemeye” yardımcı oluyor.

Yarış şu: Bu sistemleri felaket düzeyinde bir hack gerçekleşmeden önce yeterince hızlı bir şekilde güvence altına alabilir miyiz?

Şu anda o yarışın ortasındayız — ve başarılı olabiliriz. O kadar güvenli hale gelebiliriz ki büyük bir başarısızlık asla gerçekleşmez. Ama henüz emin değiliz. Önümüzdeki iki yıl kritik olacak.

CN: Stablecoin'larda akıllı sözleşme güvenlik açıklarının en büyük kaynakları nelerdir?

MA: Riskler, çoğu DeFi uygulamasına benzer — birkaç farkla. Çoğu stablecoin merkeziyetsiz değildir, bu yüzden genellikle yönetişimle ilgili sorunlar yaşamazsınız. Ancak iki ana zafiyet sınıfınız vardır:

Kod riski — Akıllı sözleşmeler, manipülasyona açık olacak şekilde yazılabilir. Matematik hataları, hatalı geri ödeme mantığı, oracle'ların yanlış kullanımı gibi durumlarla karşılaştık — bunların hepsi büyük istismarlarla sonuçlanabilir. İşte bazı erken stablecoin hacklerinin nasıl gerçekleştiği.

Erişim kontrolü — Birçok stablecoin merkeziyettir, bu da çıkarıcının kontrol ettiği ayrıcalıklı işlevler olduğu anlamına gelir — örneğin basım veya geri ödeme gibi. Eğer biri bu kontrolleri ihlal ederse, tüm sistem çöker. PYUSD'de $300 trilyon basan biri tarafından yanlışlıkla yaşanan PayPal sorununu hatırlıyor olabilirsiniz. Bu zararsız bir hata idi — ama neyin mümkün olduğunu gösteriyor.

Finansal risk gerçektir. Bunu SVB krizi sırasında Circle ile gördük — kötü teminat yüzünden değil, likidite baskısı nedeniyle. Bir geri çekilme seli, varlıklar teknik olarak mevcut olsa bile, “bankada koşu” senaryosu yaratabilir.

Hukuki risk de artıyor. Hükümetler müdahale edebilir ve edecektir. Ancak bunlar akıllı sözleşme anlamında gerçekten “güvenlik” sorunları değil — daha geniş güvenlik endişeleridir. Bunları yönetmek için tamamen farklı bir araç setine ihtiyacınız var.

CN: Kurumların ve bankaların bahsettiğiniz riskleri anladığını düşünüyor musunuz?

Amador: Gerçekten değil. Finansal ve hukuki riskleri anlıyorlar — bu onların dünyası. Ama kod riskine gelince, çoğu zaman sadece korkuyorlar.

Derin sulara açıldıklarının farkındalar. Öğrenmeye çalışıyorlar, kripto odaklı ekipler kiralıyorlar, Privy ve Bridge gibi altyapı girişimleri satın alıyorlar. Ama çoğu hâlâ güvende hissetmiyor. Akıllı sözleşme istismarlarını, çözmek için donanımlı olmadıkları yabancı bir problem olarak görüyorlar — ve haklılar.

Anahtar yönetimi ve erişim kontrolü ile daha rahatlar — bu, onların eski süreçlerine uygun. Ama kripto yığınına daha derinlemesine girdiğinizde, onlar için yabancı bir alan haline geliyor.

CN: Onları daha hızlı hareket etmeye ne ikna eder?

MA: FOMO. Hepsi bu. Bir iş vakasına ihtiyaçları var — kaçırmak istemedikleri büyük bir fırsat. Sonra riskleri anlamak için yatırım yapacaklar. İşte burada Immunefi olarak devreye giriyoruz: bu kuruluşların kendilerini nasıl güvence altına alacaklarını anlamalarına yardımcı olmak.

CN: Kripto projeleri bugün akıllı sözleşme riskini yönetmek için aslında ne yapmalıdır?

MA: “Varsayılan olarak güvenli” hedeflemeliyiz. Bu, amacımız. Artık güçlü araçlarımız var — fuzzing, formal doğrulama, AI destekli statik analiz — bunların çoğunu Immunefi'de öncülük ettik. Ancak benimseme hâlâ çok düşük. Çoğu ekip, denetimleri ve hata ödüllerini tek seferlik kontrol listeleri olarak görmeye devam ediyor. Bu yeterli değil.

Her ciddi projenin yapması gerekenler şunlardır:

Yapay zeka zayıflık tespiti (PR incelemeleri): Yeni kodun her satırının birleştirilmeden önce otomatik + insan taraması.

Denetimler: Hem geleneksel denetimler hem de yüzlerce hacker'ın kodu gözden geçirdiği denetim yarışmaları.

Hata ödülleri: Ne kadar paranın riske atıldığına bağlı olarak anlamlı ödüller.

İzleme çözümleri: Dağıtım sonrası gerçek zamanlı tehdit tespiti.

Güvenlik Duvarları: Kötü niyetli işlemleri gerçekleştirilmeden önce engelleyen sözleşme düzeyinde “sekreterler”.

Eğer bu tam yığını çalıştırırsanız, kendinize hasar vermeden önce istismarları yakalamak için beş farklı şans vermiş olursunuz. Yine de, projelerin %1'inden azı güvenlik duvarları kullanıyor ve %10'dan azı yapay zeka zafiyet araçları kullanıyor. Bu büyük bir boşluk — ve çözülebilir bir boşluk.

CN: Sözleşmeleri daha güvenli hale getiren başka faktörler var mı — dil tasarımı veya mimari gibi?

MA: Evet, ama bu uygulamaya bağlı. Daha basit sözleşmeler her zaman daha güvenlidir. Bu yüzden ERC-20 sözleşmeleri neredeyse hiç hacklenmez — küçük, sıkı ve iyi test edilmiştir. Mantığınız ne kadar karmaşık olursa, aldığınız risk de o kadar artar.

Yükseltilebilirlik başka bir büyük faktördür. Kullanıcı deneyimi esnekliği ekler, ancak bir arka kapı tanıtır. İdeal olarak, sadece siz kullanmalısınız — ama bunun kötüye kullanıldığı birçok durumu gördük. Yine de, günümüzde çoğu proje, benimseme için karşılığında verilen değerin buna değer olduğunu düşündükleri için yükseltilebilirliği tercih ediyor.

CN: Son düşünceler — kimsenin yeterince konuşmadığı bir önemli konu nedir?

MA: Kesinlikle. En büyük kör noktalardan biri, protokol sorumluluğu ile ilgilidir. Daha fazla para zincir üstü sistemlere akarken, hukuki manzara hızla değişecek. Bir noktada, birisi şunu soracak: Bir şey bozulduğunda kim sorumlu? Bunun için henüz net bir cevabımız yok — ama geliyor ve protokollerin nasıl inşa edileceğini ve yönetileceğini yeniden şekillendirecek.

Bir diğer düşündüğüm şey, kripto kültürünün ne kadar değiştiği. Finans haline geliyor. Bunu hissedebiliyorsunuz. Erken dönem yapıcıları ideologlardı - merkeziyetsizlik ve açık sistemlere gerçek inananlar. Şimdi bu alana çok farklı bir şekilde yaklaşan bir finans profesyonelleri dalgası görüyoruz. Bu mutlaka kötü değil, ancak etik anlayışını değiştiriyor ve bu değişimin uzun vadeli sonuçlarının ne olacağını henüz bilmiyoruz.

Ve sonra geri dönebilme meselesi var. Kurumlar zincir üzerinde hareket etmeye başladıkça, şu anda çoğu halka açık zincirde mevcut olmayan özellikleri talep etmeye başlayacaklar. Bunlardan biri, işlemleri geri alma yeteneğidir.

Bence daha fazla zincir, belki de büyük olanlar, özellikle izinli veya yarı izinli ortamlarda bu yeteneği sunmaya başlayacak. Bu, geleneksel finans gibi davranan yeni bir blok zinciri altyapısı sınıfı yaratıyor — kapalı bahçeler ve açık dünyaya köprüler.

Bunun hepsi, insanların kaçırdığı bir şeyle bağlantılı: kripto güvenliği bir dönüm noktasına gelmek üzere. Bugün hala yeterince takdir edilmiyor, ancak fonlardan DAO'lara ve bankalara kadar her büyük oyuncunun sonunda zincir üzerindeki altyapılara güveneceği açık hale geliyor.

Ve bu, hepsinin ciddi bir korumaya ihtiyaç duyacağı anlamına geliyor. Bence güvenlik altyapısında büyük bir patlamanın başlangıcındayız ve bunun neye benzeyeceğine kimse gerçekten hazır değil.

<br>