DeFi-ni məhv edən hakerlər və tənzimləmələrdirmi?

Müəllif: Gu Yu, ChainCatcher

2026-cı ilin aprelində bir sıra təhlükəsizlik fəlakətləri DeFi-ni yenidən ictimai rəyin mərkəzinə çıxardı. Kelp DAO və Drift Protocol-a edilən hücumlar 575 milyon dollardan çox zərərə səbəb oldu və DeFi-də kilidlənmiş ümumi dəyərin (TVL) təxminən 172 milyard dollardan 148 milyard dollara düşməsinə, kredit sektorundakı TVL-in isə 53 milyard dollardan 40 milyard dollara qədər azalmasına gətirib çıxardı.

Son günlərdə tanınmış təhlükəsizlik auditi şirkəti OpenZeppelin-in həmtəsisçisi Manuel Aráoz X platformasında açıq şəkildə bildirdi: "İnanıram ki, bütün DeFi hazırda təhlükəsiz deyil." O, hətta Aave, MakerDAO və Compound kimi "aşağı riskli blue chip" hesab olunan protokollar da daxil olmaqla, bütün DeFi mövqelərini ləğv etmələri üçün dostlarına və ailəsinə məsləhət verməyə başladığını qeyd etdi.

Bu mühakimə xüsusilə sərt olsa da, üzərində düşünməyə dəyər. Axı, OpenZeppelin uzun müddətdir ki, DeFi dünyasında təhlükəsizlik infrastrukturunun ən vacib qurucularından biridir və onun smart müqavilə standartları və təhlükəsizlik alətləri bütün sənayenin inkişafına nüfuz edib. Əgər smart müqavilə təhlükəsizlik sistemini ən yaxşı anlayanlar belə DeFi risklərini sorğulamağa və qətiyyətlə geri çəkilməyə başlayırlarsa, bu, şübhəsiz ki, bəzi daha dərin problemlərin üzə çıxdığını göstərir.

Son bir neçə ildə DeFi nə vaxt çətinliklərlə üzləşsə, insanlar tez bir zamanda konkret səbəb tapa bilirdilər. Bazarın tənəzzülü zamanı günah makro mühitdə görülürdü; haker hücumları baş verdikdə insanlar bunu texniki boşluqlarla əlaqələndirirdilər; tənzimləyici qurumlar hərəkətə keçdikdə isə problemlər siyasət təzyiqi kimi ümumiləşdirilirdi.

Lakin zaman ölçüsünü genişləndirsək, getdikcə daha aydın bir faktla qarşılaşacağıq: DeFi-nin bu gün üzləşdiyi çıxılmaz vəziyyət tək bir hücum, konkret tənzimləyici siyasət və ya uğursuz layihə ilə deyil, əksinə, onun əvvəlcə üzərində qurulduğu iki əsas məntiqin eyni vaxtda çətinliklərlə üzləşməsi ilə bağlıdır.

Birinci məntiq texniki dünyadan gəlir, yəni kod etibarı əvəz edə bilər. İkinci məntiq isə institusional dünyadan gəlir və bildirir ki, açıq şəbəkələr ənənəvi maliyyə sistemlərinin məhdudiyyətlərindən yan keçə bilər.

Hakerlər və tənzimləyicilər isə məhz bu iki sütuna zərbə vurublar.

I. DeFi təhlükəsizlik böhranının dərin təkamülü

On ildir ki, DeFi təhlükəsizlik sahəsindəki əsas paradoks heç vaxt dəyişməyib. Web3 təhlükəsizlik tədqiqatçıları uzun müddətdir ki, bu ölümcül asimmetriyanı müəyyən ediblər: müdafiəçi hər mümkün boşluğu bağlamalıdır, hücumçu isə yalnız bir aspektdə uğur qazanmalıdır.

Səthdə hücum üsulları adi şübhəlilərdən başqa bir şey deyil: kross-çeyn körpü boşluqları, çoximzalı icazə oğurluğu, oracle manipulyasiyası və s. Lakin Kelp DAO və Drift Protocol ilə bağlı hadisələr daha qəddar bir tendensiyanı ortaya qoyur: ən ölümcül boşluqlar çox vaxt smart müqavilə kodunda olmur.

18 apreldə Ethereum likvidlik re-staking protokolu Kelp DAO hücuma məruz qaldı. Hücumçu LayerZero kross-çeyn körpüsünün DVN (Mərkəzsizləşdirilmiş Doğrulama Şəbəkəsi) konfiqurasiya boşluğundan istifadə edərək kross-çeyn mesajlarını saxtalaşdırdı və saatlar ərzində körpüdən 116 500 rsETH çıxardı ki, bu da həmin vaxt təxminən 293 milyon dollara bərabər idi.

Bu fəlakətin mahiyyəti kod qüsuru deyil, konfiqurasiya xətasıdır. Kelp DAO, LayerZero-nun kross-çeyn doğrulama şəbəkəsi üçün "1-of-1" konfiqurasiyasını seçmişdi—kross-çeyn mesajlarının qanuni sayılması üçün yalnız bir DVN qovşağının təsdiqi kifayət edirdi. Hücumçu doğrulama məlumatlarını təmin edən iki RPC qovşağını ələ keçirib DDoS hücumu başlatdıqda, bütün körpü sistemi faktiki olaraq məhv oldu.

1 apreldə Solana ekosistemindəki ən böyük daimi müqavilə DEX-lərindən biri olan Drift Protocol hücuma məruz qaldı və 285 milyon dollar itki ilə nəticələndi. Bu, 2026-cı ilin indiyədək ən böyük tək DeFi hücum hadisəsi və Solana tarixində ikinci ən böyük haker hadisəsi oldu.

Bu da smart müqavilə boşluğu deyildi. Hücumçu sosial mühəndislikdən istifadə edərək çoximzalı pul kisəsinin üç imzalayanından ən azı ikisini ələ keçirdi və onları Solana-nın davamlı nonce funksiyasından istifadə edərək zərərli əməliyyatları əvvəlcədən imzalamağa məcbur etdi. Hücumçu inzibati imtiyazlar əldə etdikdən sonra 12 dəqiqədən az müddətdə vəsaitlərin oğurlanmasını tamamladı.

Hücumun kökü əməliyyat təhlükəsizliyinin (OpSec) tamamilə uğursuzluğunda yatır: düzgün olmayan çoximzalı pul kisəsi konfiqurasiyası, açar idarəetməsindəki kor nöqtələr və faktiki olaraq mövcud olmayan sosial mühəndislik müdafiə xətti.

Bu iki hadisə DeFi təhlükəsizlik böhranının dərin təkamülünü ortaya qoyur: hücumların sıçrayış nöqtələri sistemli şəkildə ənənəvi smart müqavilə kodu boşluqlarından konfiqurasiya və insan/OpSec təbəqələrinə keçir.

Manuel Aráoz problemin əsasını belə qeyd etdi: "Smart müqavilə təhlükəsizliyi mahiyyətcə son dərəcə asimmetrik bir oyundur—müdafiəçilər bütün boşluqları düzəltməli, hücumçular isə vəsait oğurlamaq üçün yalnız birini tapmalıdır." AI hücum səmərəliliyini eksponensial şəkildə artırmağa başladıqca, bu asimmetriya sürətlə balanssızlaşır.

AI kodlaşdırma agentləri əvvəllər ən yaxşı ağ şapkalı komandaların həftələrlə vaxtını alan problemləri bir neçə dəqiqəyə sıxışdıra bilir, hətta ictimaiyyətə açıq protokol koduna əsaslanaraq avtonom şəkildə hücum skriptləri yarada bilir. Sənayedə ən əsas təhlükəsizlik auditi şirkətlərindən biri kimi, həmtəsisçinin bədbin mühakiməsi bir siqnal rolunu oynayır—təhlükəsizlik sənayesinin özü mövcud müdafiə çərçivəsinin sistemli uğursuzluqla üzləşdiyinin fərqinə varır.

II. Tənzimləyici təzyiqin davamlı yayılması

Təhlükəsizlik böhranı dərinləşdikcə, tənzimləyici qüvvələr də həm on-chain, həm də off-chain ölçülərdə təzyiqi davamlı olaraq artırırlar.

26 mayda Böyük Britaniya hökuməti HTX kriptovalyuta birjasını Rusiyaya qarşı sanksiyalar siyahısına daxil etdi. Bu, kriptovalyuta birjasına qarşı sanksiya tətbiq etmək üçün 17A tənzimləməsindən istifadə etdiyi ilk hal oldu. Böyük Britaniya HTX-i 2025-ci ildə 3,3 trilyon dollarlıq əməliyyat aparmaqda və sanksiya tətbiq edilmiş A7 ödəniş şəbəkəsinə və Rusiya birjası Garantex-ə maliyyə xidmətləri göstərməkdə ittiham etdi.

Sanksiyaların yaratdığı zəncirvari reaksiya sürətlə yayıldı. Bir neçə əsas AML şirkəti HTX-in birja ünvanını yüksək riskli ünvan kimi siyahıya aldıqdan sonra, onların AML sistemindən istifadə edən bir çox birja HTX ilə əlaqəli ünvanlarla bağlı əməliyyat yoxlamalarını sərtləşdirdi və bu, çoxsaylı HTX istifadəçisinin digər birjalara aktiv çıxararkən problemlərlə üzləşməsinə səbəb oldu.

HTX hadisəsi daha dərin bir dilemmanı ortaya qoyur: mürəkkəb geosiyasi mənzərədə tənzimləyicilər tərəfindən başladılan tək bir sanksiya on-chain miqyasında genişlənən zəncirvari effekt yarada və nəticədə saysız-hesabsız adi istifadəçinin vəsaitinə təsir edə bilər. HTX istifadəçisi aktiv saxlamaqda tamamilə günahsız ola bilər, lakin platformanın potensial uyğunluq riskləri səbəbindən digər birjalara çıxış etməyə çalışarkən bütün AML sisteminin "fayervolu" ilə qarşılaşa və vəsaitlərin dondurulması və ya qeyri-müəyyən müddətə gecikdirilməsi ilə üzləşə bilər.

Əslində, HTX hadisəsi tənzimləyici təzyiqin aysberqin yalnız görünən hissəsidir. DeFi innovasiyasını daha dərin səviyyədə məhdudlaşdıran şey tənzimləyici qurumlar tərəfindən protokolların əsas biznes modellərinin hüquqi xarakteristikasıdır.

Son iki ildə ABŞ SEC, Compound, Uniswap və Curve kimi "blue chip" DeFi protokollarına qarşı araşdırmalara başlayıb və idarəetmə tokenlərinin qeydiyyatdan keçməmiş qiymətli kağızlar olub-olmadığına diqqət yetirib. Daha birbaşa zərbələr gəlir gətirən token sektorundan gəlir—Gemini Earn kimi məhsullara qarşı SEC-in icra tədbirləri göstərir ki, bir protokol depozitlərə əsasən istifadəçilərə passiv faiz ödədikdə, o, asanlıqla investisiya müqaviləsi kimi təsnif edilir və Qiymətli Kağızlar Aktı çərçivəsində qeydiyyat və açıqlama öhdəliklərini işə salır.

Bu hüquqi qeyri-müəyyənlik və yüksək təzyiq mühiti DeFi innovasiyasının ən yaradıcı istiqamətlərini birbaşa boğur: likvidlik mayninqindən tutmuş strukturlaşdırılmış gəlir məhsullarına qədər tərtibatçılar daim token iqtisadi modellərinin tənzimləyici qırmızı xətləri keçib-keçmədiyindən narahat olmalıdırlar.

Müəyyən mənada, DeFi-nin əvvəlcə vurğuladığı "icazəsiz" (permissionless) təbiət tədricən başqa bir "icazə sistemi" formasına çevrilir. Bu "icazə" konkret şirkətdən və ya protokoldan deyil, tənzimləyici uyğunluq zəncirinin hər bir halqasından gəlir: AML siyahıları, birja risk nəzarəti mühərrikləri, qiymətli kağızlar qanunlarının uzun qollu yurisdiksiyası və s.

III. DeFi realist mərhələyə daxil olur

DeFi-nin son bir neçə ildəki eniş-yoxuşlarına nəzər salsaq, DeFi-nin təhlükəsizlik dilemmaları və tənzimləyici təzyiqləri müstəqil şəkildə mövcud deyil. Aydin tənzimləyici çərçivənin olmaması təhlükəsizlik standartları ilə bağlı sənaye konsensusunun yaradılmasını çətinləşdirir; tez-tez baş verən təhlükəsizlik hadisələri isə öz növbəsində qlobal tənzimləyici qurumların icranı sərtləşdirməsi üçün ən birbaşa əsaslandırmanı təmin edir; və AI dövründə sürətlənən təhlükəsizlik asimmetriyası, tədricən sərtləşən uyğunluq hədləri ilə birləşərək, nəticədə saysız-hesabsız adi istifadəçini fırtınanın mərkəzinə itələyir.

Mahiyyət etibarilə, təhlükəsizlik auditinin sərhədləri və tənzimləyici uyğunluğun sərtliyi DeFi-nin dayandığı iki əsas fərziyyəni—"kod qanundur" və "icazəsiz azadlıq"—davamlı olaraq aşındırır.

Bu gün istifadəçilər ənənəvi maliyyədəkindən daha yüksək texniki risklər daşıyırlar, lakin ənənəvi maliyyədəkindən daha çox azadlıq əldə etməyə bilərlər. Məhz buna görə də bir çox bazar iştirakçısı çaşqınlıq içindədir. Onlar görürlər ki, DeFi nə banklar qədər təhlükəsizdir, nə də ilkin vəd edildiyi kimi tamamilə açıqdır.

Bir sistem eyni vaxtda həm təhlükəsizlik mükafatlarını, həm də azadlıq mükafatlarını itirdikdə, onun böyümə məntiqi təbii olaraq çətinliklə üzləşəcək. Buna görə də sual bəlkə də "Hakerlər və tənzimləyicilər DeFi-ni məhv etdimi?" deyil.

Daha dəqiq desək, hakerlər və tənzimləyicilər sadəcə sənayeni reallıqla üzləşməyə məcbur etdilər. Hakerlər insanlara kodun təbii olaraq etibar yaratmadığını dərk etdirdilər; tənzimləyicilər isə insanlara on-chain dünyanın heç vaxt real dünyadan ayrılmış paralel bir kainat kimi fəaliyyət göstərmədiyini çatdırdılar.

Bu, DeFi-nin uğursuzluğu demək deyil. Əksinə, bu, eksperimentin idealist mərhələdən realist mərhələyə keçdiyini bildirir.

DeFi hakerlər və ya tənzimləyicilər tərəfindən məhv edilmir. O, hər ikisinin formalaşdırdığı sağ qalma qanunları ilə yenidən müəyyən edilir: DeFi-nin gələcəyi ya daha ciddi sənaye özünütənzimi və uyğunluq çərçivəsinə doğru irəliləyərək mərkəzsizləşdirmə prinsiplərindən güzəştə getməyə məcbur olacaq, ya da hücum və müdafiə arasındakı davamlı balanssızlıq səbəbindən bazar etimadını tədricən itirərək uzunmüddətli marjinallaşmaya məruz qalacaq.