DeFi yeni başlayanlar için güvenli mi?

DeFi, bir bankanın güvenli olduğu şekilde güvenli değildir. Ne mevduat sigortası vardır, ne arayabileceğiniz bir müşteri desteği, ne de imzalandıktan sonra işlemi geri almanın bir yolu. Bununla birlikte AAVE, Uniswap ve Morpho gibi büyük protokollerin güçlü güvenlik geçmişleri vardır ve yeni başlayanlar, yatırma öncesi bir kontrol listesi izleyerek bu protokolleri makul bir güvenle kullanabilir. Yeni başlayanlar için en büyük risk kötü bir protokol seçmek değildir. Asıl risk, sınırsız bir token onayı imzalamak, oltalama bağlantısına tıklamak ya da multisig kontrolü adımını atlamaktır. DeFi'yi gerçek kayıp potansiyeli olan isteğe bağlı bir self-custody olarak değerlendirin ve kaybetmeyi göze alamayacağınız herhangi bir tutar için donanım cüzdanı kullanın.

DeFi'de bir token onayını nasıl iptal ederim?

revoke.cash adresine gidin, onaylarını kontrol etmek istediğiniz cüzdanı bağlayın ve harcamaya yetkili olan sözleşmelerin listesini inceleyin. Aktif olarak kullanmadığınız her onay için iptal et'e tıklayıp işlemi onaylayın. İptal işlemi blokzincire bir yazma işlemi olduğundan küçük bir gas ücretine mal olur, ancak eski onayların taşıdığı kalıcı harcama yetkisini ortadan kaldırır. DeFi'deki en önemli cüzdan hijyeni alışkanlığı, kullanmadığınız onayları iptal etmektir, çünkü adres zehirleme ve onay drainleme saldırıları artık hacim olarak en büyük kripto hırsızlığı kategorisidir.

Bir protokolün denetimi yoksa yatırmalı mıyım?

Anlamlı bir meblağ için hayır. Denetlenmemiş bir protokol, mevcut haliyle kodunu hiçbir profesyonel güvenlik firmasının incelemediğinin garantisidir ve DeFi tarihi, lansmanlarından günler sonra kullanıcı fonlarını drainleyen denetlenmemiş sözleşmelerle doludur. Yeni ve denetlenmemiş bir protokolü test etmek istiyorsanız, tamamen kaybetmeye hazır olduğunuz bir miktarla bunu yapın, sınırsız yerine belirli bir onay belirleyin ve işiniz biter bitmez çekin. Bu bir eğitimdir, finansal tavsiye değildir ve tarihsel örüntü, denetlenmemiş protokollerin denetlenmiş olanlara kıyasla çok daha yüksek bir oranda başarısız olduğunu gösterir.

DeFi'de TVL ile gerçek likidite arasındaki fark nedir?

TVL ya da toplam kilitli değer, bir protokole ne kadar yatırıldığını ölçer. Herhangi bir anda gerçekte ne kadar çekebileceğinizi ölçmez. Bir borç verme piyasasında TVL'nin büyük kısmı ödünç verilmiştir ve yalnızca küçük bir bölümü likidasyonları tetiklemeden çekilebilir durumdadır. Bir Curve veya Uniswap havuzunda TVL, çiftin her iki tarafının toplam değeridir, ancak daha ince olan taraftaki işlem görebilir derinlik bunun küçük bir kesri olabilir. Mart 2023 USDC depeg döneminde bazı protokoller TVL grafiğinde tamamen desteklenmiş görünüyordu ancak saatlerce para çekme işlemlerini fiilen gerçekleştiremediler. Her zaman yalnızca yatırılan tutarlara değil, mevcut likiditeye bakın.

DeFi Risk Kontrol Listesi: Önce Bakmanız Gereken 12 Şey

Doğru protokolü seçmekten daha önemli olan: yatırma öncesi kontrol listesi

DeFi'de para kaybeden çoğu insan bilerek bir dolandırıcılık seçmez. Meşru görünen bir arayüzde onay'a tıklar, denetlenmiş bir havuza yatırım yapar ve akıllı sözleşmenin ana sayfanın söz verdiğini yapacağını varsayarak uzaklaşır. Ertesi sabah protokol boşaltılmıştır, ekip sessizdir ve kullanıcı bir hafta önce okuyabileceği bir post-mortem okumakla baş başa kalır.

Bu makale tam olarak bunun için var. Amaç size bir sonraki 10x getiri çiftliğini bulmanızda yardımcı olmak değil. Amaç, bir pilotun kalkış öncesi listeyi çalıştırdığı gibi sizi onay ekranında yavaşlatmaktır. Çoğu çöküş tek bir felaket sürprizinden kaynaklanmaz. Kimsenin kontrol etmediği küçük şeylerin zincirinden kaynaklanır.

Bu kontrol listesini kullanmak için geliştirici olmanız gerekmez. Bir işlemi imzalamadan önce bir protokolün dokümanlarını, denetim raporlarını ve zincir üstü verileri okumak için on beş dakika ayırmaya istekli olmanız gerekir. Bir protokol size bu kontrol listesini tamamlamak için gereken bilgiyi vermiyorsa, bu zaten yatırım yapıp yapmamanız gerektiğinin cevabıdır.

Bir token'ı onaylamadan önceki gerçek riskler

DeFi'deki risk soyut değildir. Gerçek kullanıcılara gerçek para kaybettiren belirli başarısızlık modlarının bir listesidir. Kontrol listesine geçmeden önce, gerçekte kontrol ettiğiniz risk kategorileri burada.

Akıllı sözleşme hataları

DeFi'de kod kanundur; bu, akıllı bir sözleşmedeki bir yazım hatasının bir saldırganın protokoldeki her doları alıp götürmesine izin verebileceğini kibarca söyleme şeklidir. Denetimler bu riski azaltır ancak ortadan kaldırmaz. 2021'deki Cream Finance hack'i, 2022'deki Wormhole köprü istismarı ve 2024'teki BingX ile ilgili olayların tümü daha önce denetlenmiş sözleşmelerde yaşandı. Denetimler, denetçinin bakmayı düşündüğü hataları yakalar. Her şeyi yakalamazlar.

Ekonomik ve oracle manipülasyonu

Bazı protokoller geleneksel anlamda hacklenmez. Kod tam olarak yazıldığı gibi çalışır, ancak dayandığı fiyat akışı yeterli sermayeye sahip bir trader tarafından oynatılır ve protokol artık gerçeklikle eşleşmeyen bir fiyata göre ödeme yapar. Mango Markets, Ekim 2022'de tam olarak bu tür bir saldırıyla yaklaşık 114 milyon dolar kaybetti ve bu, protokolün kendi platformundaki MNGO-PERP piyasasının manipüle edilmesiyle gerçekleştirildi.

Yönetici anahtarı ve yönetişim riski

Birçok DeFi protokolü, küçük bir imzalayan grubuna sözleşmeleri yükseltme, parametreleri değiştirme veya para çekme işlemlerini duraklatma yetkisi verir. Bu imzalayanlar tehlikeye girerse, zorlanırsa ya da basitçe yatırımcılara zarar verecek şekilde dürüstçe hareket ederse, fonlarınız taşınabilir veya dondurulabilir. İlgili soru, bir protokolün ruhen merkeziyetsiz olup olmadığı değildir. Kaç insanın paranızı taşıyabileceği ve bunu yapmadan önceki uyarının ne kadar uzun olduğudur.

Onay ve cüzdan hijyeni

Uniswap, Aave, Morpho veya Pendle gibi bir sitede bir token'ı onayladığınızda, o sözleşmeye o token'ı cüzdanınızdan süresiz olarak harcama izni veriyorsunuz; ta ki onayı iptal edene kadar. Eski onaylar favori bir hedeftir. 2025'te adres zehirleme ve onay boşaltma dolandırıcılıkları, hacim bazında borsa ihlallerini bile aşarak kripto hırsızlığının en büyük tek kategorisi haline geldi. Hiç hacklenmemiş bir protokolde bile, iki yıl önce bir token'ı onayladığınız ve hiç iptal etmediğiniz için para kaybedebilirsiniz.

12 maddelik DeFi yatırım kontrol listesi

Bunları sırayla gözden geçirin. İlk üçüne evet cevabını veremiyorsanız, geri kalanıyla uğraşmayın. Amaç, sizi sıfırlayacak tek şeyi yakalamaktır; protokolü bir ölçüte göre değerlendirmek değil.

1. Sözleşme denetlenmiş mi ve en son ne zaman?

Denetim raporunu bulun. AAVE, UNI, MORPHO, PENDLE ve ENA'nın her birinin halka açık denetim sayfaları vardır. Tarihi, denetimi yapan firmayı ve kapsamı okuyun. 2025'te güncellenen kod üzerinde yapılmış 2022 tarihli bir denetim, yeni bir denetimle aynı şey değildir. Denetim yoksa ya da tek denetim şirket içi yapılmışsa, bunu keskin bir dur işareti olarak değerlendirin.

2. Aktif bir hata ödül programı var mı ve ne kadar büyük?

Denetlenmiş ama beyaz şapkalı korsanlara bakmaya devam etmeleri için para ödemeyen bir protokol, ekibin süregelen güvenliği ciddiye almadığını söylüyor. Immunefi, 2020'den bu yana hata ödülleri kapsamında 100 milyon doların üzerinde ödeme yaptı. Ödülün büyüklüğünü kontrol edin. 1 milyon dolarlık bir ödül, 100.000 dolarlık bir ödülden anlamlı biçimde farklıdır. Daha büyük ödüller, daha iyi araştırmacıları çeker.

3. Yönetici anahtarlarını kim tutuyor ve kaç tane var?

Protokolün belgelerine veya yönetişim forumuna bakın. Yükseltmeleri kontrol eden multisig adresini bulun. İmzalayanları sayın. 3/5 multisig, 2/5 multisig'den anlamlı biçimde farklıdır; bu da tek bir kişinin kontrol ettiği tek bir EOA'dan anlamlı biçimde farklıdır. AAVE, 24 saatlik bir timelock ile 6/9 multisig kullanır. Yazılı olarak görmek istediğiniz ayrıntı tam olarak budur.

4. Yükseltmelerdeki timelock ne kadar uzun?

Timelock, bir yönetici işleminin kuyruğa alınması ile yürütülmesi arasındaki gecikmedir. 24 saatlik bir timelock, topluluğa kötü niyetli bir değişiklik önerilirse tepki vermek ve çıkmak için zaman tanır. 1 saatlik timelock, ya da hiç timelock olmaması, değişikliği fonlarınız gittikten sonra öğreneceğiniz anlamına gelir.

5. Protokol hangi oracle'ı kullanıyor ve nasıl güvence altına alınmış?

Chainlink en yaygın yanıttır ve genellikle iyi bir yanıttır. Ancak her protokol Chainlink kullanmaz ve her Chainlink beslemesi eşit düzeyde likit değildir. Protokolün hangi beslemelerden okuduğuna ve bir beslemenin durması ya da bayat bir fiyat döndürmesi durumunda ne olacağına dair açık belgeleri arayın. Mango Markets saldırganı, fiyat bayatlığı kontrollerinin eksliğini istismar etti. Bu ayrıntı belgelerde yer alıyordu. Neredeyse kimse okumadı.

6. Protokolün asıl likiditesi gerçekten derin mi, yoksa yalnızca TVL mi?

Toplam kilitli değer manşet sayısıdır. Ne kadar yatırıldığını söyler, panikte ne kadar çekebileceğinizi söylemez. 500 milyon dolarlık TVL'ye sahip bir borç verme piyasasında, fiilen likide edilebilir teminat yalnızca 20 milyon dolar olabilir. Mart 2023'teki USDC depeg'inde, TVL grafiğinde sağlıklı görünen birkaç protokol saatlerce fiilen iflas etmiş durumdaydı. Yalnızca yatırılan tutarı değil, kullanılabilir likiditeyi kontrol edin.

7. Geçmişte olaylar yaşandı mı ve nasıl ele alındı?

Her büyük protokolün en az bir kez ucuz atlatması olmuştur. Asıl ilginç soru, sonrasında ne olduğudur. Ekip 48 saat içinde bir post-mortem yayınladı mı? Kullanıcılara geri ödeme yaptılar mı? Kök nedeni çözdüler mi? Saldırıya uğramış ve dürüstçe toparlanmış protokoller, hiç test edilmemiş protokollerden genellikle daha güvenlidir; çünkü stres testi gerçekti.

8. Akıllı sözleşmeler yükseltilebilir mi ve hangi mekanizmayla?

Yükseltilebilir sözleşmeler iyileştirilebilir, bu iyidir. Sessizce değiştirilebilirler, bu kötüdür. Kullanılan proxy kalıbını, onu kimin yükseltebileceğini ve yükseltmenin 3. ve 4. maddelerdeki timelock ve multisig ile denetlenip denetlenmediğini inceleyin. Bir sözleşme yükseltilebilir değilse, bu da faydalı bir bilgidir; çünkü hiçbir yöneticinin kuralları sizin aleyhinize değiştiremeyeceği anlamına gelir.

9. İmzalayacağınız token onayı tam olarak nedir?

Çoğu cüzdan onay miktarını gösterir. Bazı DeFi ön yüzleri varsayılan olarak sınırsız onay ister. Sınırsız onay kullanışlıdır, ancak gelecekte protokolddeki bir hata ya da protokolün arayüzünün bir klonunun o token'ı cüzdanınızdan herhangi bir anda boşaltabileceği anlamına gelir. Mümkünse belirli bir miktar belirleyin ve aktif olarak kullanmadığınız onayları iptal edin.

10. Gerçek URL'de misiniz ve sözleşme adresi doğrulandı mı?

Kimlik avı siteleri arayüzleri piksel piksel kopyalar. URL'yi karakter karakter kontrol edin. Protokolü bir arama sonucundan ya da Twitter bağlantısından değil, bir yer iminden açın. Onay vermeden önce sözleşme adresini protokolün resmi belgelerinde doğrulayın. Dolandırıcılar yıllarca Aave ve Uniswap gibi görünen Google reklamları satın aldı.

11. Getiri gerçek bir kaynaktan mı geliyor?

%15 APY bir sayıdır. Nereden geliyor? Borç verme ücretleri mi? Likidasyon cezaları mı? Token emisyonları mı? Protokol size kendi yönetişim token'ıyla ödüyorsa, ekibin daha fazla basabileceği bir şeyle ödeme alıyorsunuz demektir. Pendle'deki getiri, örneğin, arayüzde açıkça ayrıştırılmış belirli getiri kaynaklarından gelir. Bir protokol getirisini tek bir cümlede açıklayamıyorsa, o getiriyi pazarlama olarak değerlendirin.

12. Son 30 gün içinde eski onayları iptal ettiniz mi?

revoke.cash'i açın, cüzdanınızı bağlayın ve hâlâ onaylanmış olanlara bakın. Aktif olarak kullanmadığınız her şey, bir sonraki istismarın fonları boşaltması için kalıcı bir davettir. İptal etmek ücretsizdir. İptal etmemek kullanıcılara sekiz haneli kayıplar yaşattı. Bunu aylık bir alışkanlık haline getirin.

Kontrol listesi gerçek istismarlarda neleri yakalardı

Bir risk listesi okuyup bunların kuramsal olduğunu varsaymak kolaydır. Değiller. Bu listenin dikkatli bir uygulaması, son üç yılın en büyük DeFi olaylarından bazılarını nasıl ortaya çıkarırdı, işte burada.

Mango Markets, Ekim 2022

Avraham Eisenberg, kendi sermayesiyle MNGO token'ının fiyatını şişirip ardından şişirilmiş değer üzerinden borçlanarak Mango üzerindeki MNGO-PERP piyasasını manipüle etti. Protokol tasarlandığı gibi çalıştı. Oracle tasarlandığı gibi çalıştı. Ekonomik tasarım, bir havuzu boşaltacak kadar fiyatı itecek yeterli sermayeye sahip tek bir saldırganı hesaba katmıyordu. Belgeleri okuyan bir kullanıcı, MNGO oracle'ının kaynak olarak ince bir zincir üstü piyasa kullandığını görürdü. Kontrol listesinin 5. maddesi, oracle kaynağı ve likiditesi, bunu işaretlerdi.

Curve Finance havuzları, Temmuz 2023

Birkaç Curve havuzu, bunları dağıtmak için kullanılan Vyper derleyicisindeki bir güvenlik açığı nedeniyle boşaltıldı. Etkilenen havuzlar denetlenmişti. Hata, protokol mantığında değil derleyici sürümündeydi. 1. maddeyi kontrol eden ve denetim raporunun belirli bir derleyici sürümüne atıfta bulunduğunu gören bir kullanıcı, en azından sonrasında derleyiciyle ilgili açıklamaları araması gerektiğini bilirdi. Curve'ün yanıtı; etkilenen havuzlara tam geri ödeme ve günler içinde halka açık bir post-mortem, 7. madde için de faydalı bir veri noktasıdır.

Steakhouse Morpho kasaları, 2024

Steakhouse Financial tarafından yönetilen seçkin kasalar da dahil olmak üzere Morpho-Blue borç verme piyasaları, tasarımın gerçekten yeni olması nedeniyle 2024'te yoğun incelemeye tabi tutuldu. Bu kontrol listesini uygulayan bir kullanıcı, Spearbit ve Trail of Bits tarafından yapılmış halka açık denetimleri, aktif bir Immunefi hata ödül programını, multisig ile denetlenen bir yükseltme yolunu ve ayrıntılı oracle belgelerini bulurdu. Sağlıklı bir yatırım öncesi inceleme tam olarak böyle görünür. Hiçbir şeyin istismar edilmemiş olması bir tesadüf değildir.

Bu kontrol listesini pratikte nasıl kullanmalı

Bir kontrol listesi ancak gerçekten kullanırsanız işe yarar. İşte AAVE, MORPHO, PENDLE veya ENA gibi bir protokole ilk kez yatırım yapacaklar için pratik iş akışı.

Önce uygulamayı değil, protokolün belgelerini açın. Denetim sayfasını, güvenlik sayfasını ve yönetişim forumunu bulun. Etherscan gibi bir blok gezgininde multisig imzalayanlarını ve timelock'u doğrulayın. Oracle kurulumunu ve etkileşimde bulunacağınız sözleşme adreslerini doğrulayın. Ardından uygulamaya gidin, sınırsız yerine belirli bir token onay miktarı belirleyin, önce küçük bir test yatırımı yapın ve ölçeği büyütmeden önce çekebildiğinizi onaylayın.

Protokolü aylık olarak yeniden ziyaret etmek için bir takvim hatırlatıcısı ayarlayın. Yeni denetimleri, yeni yönetişim önerilerini, yeni olayları kontrol edin ve aktif olarak kullanmadığınız onayları iptal edin. DeFi alanı hızlı hareket eder; Mart'ta güvenli olan bir protokol, sizin fark etmediğiniz bir parametre değişikliği önerilip kabul edilmişse Nisan'da riskli hale gelebilir.

Bu süreçte herhangi bir noktada ihtiyaç duyduğunuz bilgiyi bulamıyorsanız, bunu kendi başına bir risk olarak değerlendirin. Güvenlik modelini gizleyen protokoller, onu yayınlayanlardan daha güvenli değildir. Onlar yalnızca daha az doğrulanabilirdir ve doğrulanamayan, paranızı park etmek için iyi bir yer değildir.

Doğru haber sinyaliyle DeFi riskinin önünde kalın

DeFi riski hızlı hareket eder, etrafındaki haberler de öyle. AAVE, UNI, MORPHO, PENDLE ve ENA'ya yönelik denetim güncellemelerini, yönetişim önerilerini ve oracle değişikliklerini manuel olarak takip etmek kaybeden bir oyundur; çünkü uyarı işaretleri forum gönderilerine, yönetişim oylamalarına ve güvenlik açıklamalarına dağılmıştır. Zippfeed, DeFi protokol manşetlerini duygu puanlaması (boğa, nötr veya ayı) ve önem derecelendirmesi ile birlikte sunar; böylece bir sonraki yatırımınızdan ya da getiri talebinizden önce riskli bir değişikliği fark edebilirsiniz.

Front-load primary keyword/ticker - "IBIT" and "Bitcoin ETF" are key

Ripple CEO: Saylor's bitcoin funding model is damaging crypto

~55 chars

DeFi Yatırma Kontrol Listesi: Onaylamadan Önce 12 Risk

Doğru protokolü seçmekten daha önemli olan: yatırma öncesi kontrol listesi