Merkezi Olmayan Finans Risk Yönetimi Çerçevesi: Öncesinden Sonrasına Kapsamlı Önleme

Merkezi Olmayan Finans, akıllı sözleşmelerle gerçekleştirilen merkezi olmayan finans protokolleridir ve varlık ticareti, borç verme, sigorta ve çeşitli türev ürünler gibi alanları kapsamaktadır. Kredi hizmetlerinin yanı sıra, gerçek dünyadaki çoğu finansal hizmet, Merkezi Olmayan Finans protokolleri aracılığıyla gerçekleştirilebilir. Bu protokollerin özellikleri, merkeziyetsizlik ve otomatik çalışmadır; üçüncü taraf kuruluşların yönetim ve bakımına gerek yoktur. Ancak, bu durum sözleşmelerin risk yönetimini sektörün karşılaştığı büyük bir zorluk haline getirmektedir.

Merkezi Olmayan Finans, finans ve teknoloji alanlarının özelliklerini birleştirir ve başlıca aşağıdaki risklerle karşılaşır:

1. Kod Riski: Ethereum'un alt kodu, akıllı sözleşme kodu ve cüzdan kodu gibi alanlardaki riskleri içerir. Tarihteki DAO olayı, yakın zamanda bir DEX'in güvenlik açığı saldırı problemi ve çeşitli cüzdanların çalınması olayları bu tür risklere dahildir.

2. İş Riski: Temelde, iş tasarımı sürecinde var olan açıkları ifade eder, bu da başkaları tarafından makul bir şekilde kullanılabilir veya manipüle edilebilir. Örneğin, FOMO3D oyununun tıkanma saldırısına maruz kalması ve belirli bir borç verme platformunun, varlıkların çalınmasına neden olan savunmasız bir oracle'ı yanlış kullanması gibi olaylar. Bu tür insanlar genellikle "arbitrajcılar" olarak adlandırılır ve DeFi projeleri üzerinde hem olumlu hem de olumsuz etkileri vardır.

3. Piyasa dalgalanma riski: Bazı DeFi projeleri, tasarım aşamasında piyasanın aşırı durumlarıyla başa çıkma mekanizmalarını yeterince dikkate almamıştır, bu da şiddetli dalgalanmalar sırasında tasfiyeye neden olmaktadır. 12 Mart 2020'de bir stabilcoin projesinin karşılaştığı sorun, bunun tipik bir örneğidir.

4. Oracle Riski: Oracle'lar, küresel değişkenleri sağlamak için önemli bir altyapı olarak, saldırıya uğradığında veya arızalandığında, ona bağımlı olan Merkezi Olmayan Finans projelerinin çökmesine neden olacaktır. Gelecekte, oracle'lar muhtemelen Merkezi Olmayan Finans ekosistemindeki en kritik altyapı unsurlarından biri haline gelecektir. Merkezi riskleri olan oracle'lar nihayetinde ortadan kalkabilir.

5. "Teknik Temsilci" Riski: Merkezi bir ekibin geliştirdiği "kolaylık" araçlarını kullanarak etkileşimde bulunan, akıllı sözleşmeler ve blok zinciri teknolojisine aşina olmayan sıradan kullanıcıların karşılaşabileceği riskleri ifade eder.

DeFi projeleri tasarlarken, yukarıdaki risk faktörlerini yeterince dikkate almak gerekir. Belgelerde uyarılar yapmakla birlikte, bazı pratik risk yönetimi önlemleri de alınmalıdır. Bu önlemlerin çoğu merkeziyetsiz bir şekilde uygulanmakta, bir kısmı ise topluluk yönetimi (özellikle zincir üzerindeki yönetim) aracılığıyla tamamlanmaktadır.

Aşağıda bir Merkezi Olmayan Finans risk yönetimi çerçevesi bulunmaktadır; bu çerçeve esasen üç aşamaya ayrılmaktadır: öncesi, sırası ve sonrasıdır:

Önceden: Temelde, sözleşme kodunun biçimsel doğrulamasını gerçekleştirmektir. Bu, sözleşmenin kullanılan yöntemlerini, kaynaklarını ve hatta talimatların sınırlarını netleştirmeyi ve bu unsurların birleşim sürecindeki karşılıklı etkilerini içermektedir. Yeterince savunulmamış yöntemler veya belirsiz sınırları olan birleşimler kullanılmamalıdır. Bu yaklaşım, geleneksel yazılım geliştirme test düşüncesinden ziyade matematiksel bir kanıta daha yakındır. İdeal bir sözleşme geliştirme, zaten doğrulanmış yöntem birleşimleri üzerine inşa edilmelidir.

Olay sırasında: Ana olarak durdurma tasarımı ve anormal tetikleme tasarımı içerir. Sözleşme, potansiyel saldırı davranışlarını tanıyıp müdahale edebilmelidir; bu, otomatik durdurma ve yönetişim durdurması olmak üzere iki mekanizmayı içerir. Anormal tetikleme, sözleşmenin çalışma sürecinde beklenmedik olayların kontrol yönetimini sağlar; genellikle otomatik olup, risk yönetimi parametrelerini ayarlamak için tetikleme mekanizması ile gerçekleştirilir.

Sonrasında: Sonrasında risk yönetimi birkaç alanı kapsamaktadır. Öncelikle, kodda bir güvenlik açığı ortaya çıktığında, bunu düzeltmek için zincir üzerindeki yönetişim (yani DAO yönetişimi) kullanılmalıdır. İkincisi, eğer yönetişim varlıkları saldırıya uğrarsa, sözleşme çatallaması gerekebilir. Ayrıca, potansiyel kayıpları azaltmak için sigorta mekanizmaları da kullanılabilir. Son olarak, topluluk, zincir üzerindeki verileri izleyerek, çeşitli kurumlarla iş birliği yaparak kayıpları geri alabilir.

Şu anda, sektörde Merkezi Olmayan Finans (DeFi) güvenliğine dair anlayış hâlâ erken aşamalardadır ve düşünce tarzı oldukça gelenekseldir. Gelecekteki gelişmelere uyum sağlamak için sınır, tamlık, tutarlılık, biçimsel doğrulama, durdurma, olağanüstü tetikleme, yönetişim, çatallanma gibi yeni kavram ve düşüncelerin benimsenmesi gerekmektedir. Ancak bu şekilde daha güvenli ve güvenilir bir DeFi ekosistemi inşa edilebilir.